Фотографии в заложниках. Первый взлом цифровых камер по WiFi (протокол PTP/IP)



    В наше время ни одно устройство с сетевым подключением не защищено от потенциального взлома. Даже фотоаппарат.

    На хакерской конференции DEF CON 2019 Эяль Иткин из Check Point Software Technologies показал первый в мире действующий эксплоит для протокола PTP (Picture Transfer Protocol). Многие современные DSLR поддерживают передачу файлов по WiFi. В данном случае описана зловредная точка доступа WiFi, к которой автоматически подключаются окружающие камеры.

    Экплоит работает и при физическом подключении камеры к компьютеру по PTP/USB. В обоих случаях злоумышленник может установить соединение с камерой и загрузить на неё исполняемый код. Например, для шифрования всех изображений на карте.

    Для примера Эяль Иткин из Check Point загрузил на камеру Canon EOS 80D демо-версию зловреда-вымогателя, который шифрует файлы на флэш-карте. Иткин предполагает, что это вполне реальная модель монетизации: часто там хранятся фотографии важных жизненных событий, поэтому люди захотят заплатить, чтобы получить их обратно.



    Кроме вымогателя, теоретически возможны и другие способы использования эксплоита:

    • Полное выведение из строя
    • Использование камеры для шпионажа (она уже делает фотографии)

    Модель Canon выбрали, потому что этот производитель контролирует более 50% мирового рынка цифровых камер. Кроме того, вокруг камер Canon сложилось обширное моддерское движение. Активисты провели реверс-инжиниринг прошивки и аппаратного обеспечения для выпуска свободных прошивок с расширенной функциональностью: см. Magic Lattern и Canon Hack Development Kit (CHDK).

    Но аналогичные методы применимы и для других камер, поскольку все они поддерживают PTP стандартным образом. А этот протокол обладает важными свойствами, которые благоприятствуют взлому:

    • никакой аутентификации и шифрования (протокол изначально создавался под USB, тогда не предполагалось существование PTP/IP);
    • поддержка десятков сложных команд с богатой функциональностью;
    • поддержка WiFi.

    В связи со взломом компания Canon выпустила патч и предупреждение безопасности, в которой рекомендует пользователям соблюдать меры предосторожности, не подключаться к подозрительным WiFi и отключать сетевые функции, если те не используются.

    Видеодемонстрация



    Технические детали атаки


    Первым делом хакер провёл реверс-инжиниринг и анализ прошивки камеры. Оказалось, что она зашифрована AES, а ключа нет. Но сообщество Magic Lattern уже решило эту проблему. Они использовали ROM Dumper и раздобыли ключи.



    Дамп загружается в IDA, а у Magic Lattern есть хорошая база с документированными адресами, откуда вызывается та или иная функция. В камерах Canon используется проприетарная ОС реального времени DryOS. Благодаря ей девайс способен перезагрузиться всего за три секунды.

    Вот список команд PTP с опкодами в DryOS. Чтобы найти необходимый код в прошивке, достаточно запустить поиск соответствующей константы, указанной в списке для каждой команды.

    Поверхностный анализ некоторых функций, которые работают с командами PTP показал, что они довольно сложно реализованы (148 уникальных обработчиков в одной функции) и там присутствуют явные уязвимости на переполнение буфера.



    Иткин нашёл четыре уязвимости с переполнением буфера при вызове четырёх команд PTP (SendObjectInfo, NotifyBtStatus, BLERequest, SendHostInfo): номера уязвимостей CVE-2019-5994, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000). Интересно, что две уязвимости связаны с обработкой Bluetooth, хотя данная модель камеры не поддерживает Bluetooth.

    Теперь оставалось собрать подходящий эксплоит, что и было сделано. Но автор не остановился на этом и для более наглядной демонстрации решил написать программу-вымогатель, которая будет шифровать файлы на флэш-карте. Причём идея была в том, чтобы не реализовать собственную криптографию, а использовать функции шифрования AES, встроенные в саму прошивку Canon! В поисках криптографических функций Искин даже нашёл сами ключи шифрования.

    Из-за проприетарной реализации оказалось затруднительно понять, как вырабатывается ключ в прошивке. Но это понимание необязательно для использования криптографических функций, сказал Иткин. По команде зловреда они успешно шифруют фотографии на карте и вычисляют корректную подпись.

    Иткин также разработал способ установки вредоносного обновления прошивки на камеру без участия пользователя (CVE-2019-5995).

    В презентации на DEF CON автор говорит, что это первый эксплоит для протокола PTP и «надёжный способ захвата большинства DSLR без эксплуатации каких-либо уязвимостей».




    СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для малого и среднего бизнеса до 30.11.2019 г. по промо-коду AL003HRFR. Предложение действует для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.
    • +15
    • 7,9k
    • 9
    GlobalSign
    166,95
    Компания
    Поделиться публикацией

    Комментарии 9

      +1
      А раньше нельзя было зашифровать файл, если у тебя есть доступ к файловой системе устройства?
        0
        Первый взлом цифровых камер по WiFi

        Нет.

        Как минимум были уже Samsung NX, у которых порт X-сервера торчал наружу. Ещё и точку доступа для связи со смартфоном они поднимали беспарольную. Вся защита сводилась к появляющемуся на экране камеры диалогу «К вам хочет подключиться такое-то устройство, разрешить?», но при открытых иксах нажать нужную кнопку удаленно не составляло проблемы.

        Тут подробней
        2014 год, между прочим.
          0
          Нубский вопрос, может производителям камер или фотоаппаратов стоит устанавливать специализированную версию Android без функций мобилы/гуглстора и т.д.?
            0
            Это потребует намного более мощного железа и сильно увеличит скорость загрузки системы. К тому же в Android также находили различные уязвимости.
              0
              И он будет грузиться по 5-10 секунд, во сне съедать аккумулятор за неделю и иногда подвисать. Ни один проф. пользователь на такое не пойдет — на съемке нужна мгновенная и надежная реакция камеры. Такие эксперименты проводились, но не прижились, ЕМНИП.
              0
              В наше время ни одно устройство с сетевым подключением не защищено от потенциального взлома. Даже фотоаппарат.

              Я бы сказал по-другому — от потенциального взлома менее защищены устройства с сетевым подключением и проприетарными прошивками/доморощенными протоколами. Например фотоаппарат.


              В погоне за удобствами, предоставляемыми телефонами, производители фотоаппаратов постарались реализовать новые функции, на системах, которые были изначально для этого не предназначены. Вот и попались.


              Если бы в данном фотоаппарате использовался стандартный Андроид или аналогичная ОС с более широкой поддержкой коммюнити, то вероятность такого взлома была бы меньше.

                0
                В погоне за удобствами, предоставляемыми телефонами, производители фотоаппаратов постарались реализовать новые функции, на системах, которые были изначально для этого не предназначены. Вот и попались.

                В данном случае речь немного о другом. Протокол PTP, реализация которого в данном случае оказалась уязвимой, хоть и реализован и в телефонах тоже, в цифрозеркалках используется в куда более широком смысле. В 2004-2005 годах уже были цифрозеркалки с адекватной поддержкой PTP, в том числе с удаленным управлением по нему — эта фича для (полу)профессиональных фотоаппаратов уже давно считается обязательной.
                0
                Добавлю, что модель монетизации — не только для «важных жизненных событий» самого фотографа. Потерянный материал со свадьбы в США может обойтись в 3-5 тысяч у.е. недополученной прибыли только за проваленный контракт, а моральный ущерб («это был уникальный день!») может быть и в 10 раз больше.
                  0
                  по этим причинам у меня винчестер с бакапами, который физически отключен большую часть времени

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое