當前位置:
首頁 > 新聞 > 有人在偷窺?智能攝像頭真的「聰明」嗎?

有人在偷窺?智能攝像頭真的「聰明」嗎?

新聞 03-17


寫在前面的話


在這個物聯網當道的時代,類似咖啡機、汽車、冰箱和燈泡這樣的東西都開始接入互聯網了,而且更加智能化了。而且很多城市甚至還出現了智能街道。智能攝像頭其實早就已經出現了,比如說安全監控設備。而最新款的智能攝像頭可以連接到雲端,而用戶就可以使用便攜設備(例如手機或平板電腦)遠程查看視頻信息了。

近期,卡巴斯基實驗室的安全研究人員對當前一款流行智能攝像頭的安全性進行了分析。跟普通攝像頭相比,這款智能攝像頭不僅擁有非常豐富的功能,而且還可以接入到家庭安全系統或監控系統之中。


註:根據統計顯示,目前互聯網中有超過2000個擁有獨立公共IP地址的該型號智能相機。


Hanwha SNH-V6410PN/PNW智能攝像頭


這款設備可用的視頻錄製解析度有1920×1080, 1280×720和640×360,帶有夜視功能,並且配備了運動感測器,而且還支持雙向通信。它不僅可以捕獲視頻信息,而且還可以使用內置揚聲器來發出聲音。這款智能攝像頭可以接入雲端服務,換句話說,它的正常工作並不需要跟其他設備(例如電腦)連接,用戶只需配置智能攝像頭創建一個無線熱點,並將其通過WiFi與家庭無線路由器連接即可。此時,用戶可以通過智能手機、平板電腦或計算機來控制攝像頭。需要注意的是,用戶跟攝像頭之間的通信只能通過雲端完成,別無他法。


該攝像頭基於的是Ambarella S2L系統(ARM架構),它使用了Amboot作為初始載入器。啟動之後,Amboot將會使用特殊命令作為參數來載入Linux內核:



當systemd運行之後,系統將會正常啟動,載入不同分區,並執行rc.local中設置的命令。在執行rc.local時,mainServer文件(攝像頭運行邏輯核心)將會在守護進程模式下運行。除此之外,設備還會使用PHP和CGI腳本來處理用戶文件。通過對PHP腳本的研究我們發現,負責處理mainServer通信的主函數位於/work/www/htdocs_weboff/utils/ipc_manager.php文件中。


下圖顯示的是用戶與智能攝像頭的交互邏輯:



用戶通信

當用戶向攝像頭髮送命令(例如旋轉鏡頭、選擇監控區域或切換夜視模式)時,每一個命令或參數都有相應的標識(一個常數),主標識記錄在/work/www/htdocs_weboff/utils/constant.php文件中。之後,數據包頭和Payload將會被創建,並通過UNIX套接字/tmp/ipc_path向mainServer發送請求。


針對ipc_manager.php文件的分析表明,這個階段沒有部署任何的身份驗證機制,而請求是直接以用戶『admin』的身份發送的。請求樣本如下:



當攝像頭通信是通過HTTP API和SmartCam應用程序實現的時候,設備便會採用這種通信方法。在之後的測試中,數據包會直接由應用程序生成,並使用XMPP協議來發送控制信息。如果用戶想要從外部通過HTTP API或SmartCam應用程序來訪問這個文件的話,則必須通過Web伺服器的身份驗證。


可利用的攻擊漏洞


我們在研究過程中發現了以下漏洞:





  1. 固件更新過程中使用了不安全的HTTP協議;



  2. 通過HTTP API實現攝像頭交互時,使用了不安全的HTTP協議;



  3. 使用』dnpqtjqltm』文件更換Web介面,這是一個「隱藏功能」;



  4. 更換Web介面時,』dnpqtjqltm』文件會發生緩衝區溢出;



  5. 有一個使用root許可權實現遠程命令執行的功能;



  6. 可遠程修改管理員賬號的密碼;



  7. 拒絕服務攻擊;



  8. 管理員賬號無法抵禦暴力破解攻擊;



  9. 在xmpp.samsungsmartcam.com上註冊攝像頭時採用的是弱密碼策略;



  10. 可通過雲伺服器與其他攝像頭交互;



  11. 阻止新的攝像頭在雲伺服器上註冊;



  12. 身份認證繞過,可修改管理員密碼或遠程執行命令;



  13. 從SmartCam雲端賬號恢復攝像頭密碼;

通過進一步分析後,我們發現不僅僅是這一款智能攝像頭存在這些問題,幾乎所有由韓華集團(Hanwha)製造的智能攝像頭都有這些問題。


「隱藏」功能


我們所發現的「隱藏」功能允許用戶修改智能攝像頭的Web介面,下面給出的是Hanwha智能攝像頭中「隱藏」功能的代碼:



雲伺服器架構中的漏洞


除了智能攝像頭本身的漏洞之外,雲伺服器架構同樣存在嚴重的安全漏洞。因為如果雲伺服器架構中存在高危漏洞,攻擊者就可以通過雲端控制和訪問所有與之相連的智能攝像頭了。


其中最主要的問題是雲端架構基於的是XMPP協議,而且所有的Hanwha智能攝像頭雲端都是Jabber伺服器。因此,攻擊者就可以利用漏洞在Jabber伺服器上註冊任意賬號,並訪問伺服器的資源和連接設備了。


測試賬號通過XMPP協議發送的消息結構如下:



解碼後的信息主體如下:


在與雲端交互的過程中,攝像頭會發送用戶憑證和一系列常熟標識。在對數據進行分析之後,遠程攻擊者不僅可以偽裝成攝像頭來與雲端通信,而且還可以通過雲端來向其他攝像頭髮送任意控制命令。


總結


攻擊者可以利用智能攝像頭做些什麼?很明顯,他們的選擇有很多。攻擊者可以遠程修改管理員的密碼,在智能攝像頭上執行任意代碼,訪問並控制雲端所有的攝像頭。除此之外,攻擊者甚至還可以利用這些智能攝像頭來組件殭屍網路。


這對用戶來說意味著什麼呢?說的直接一點,他將能夠監視你以及你家人的一舉一動…


我們已經將所有檢測到的漏洞提交給了廠商,其中的某些漏洞現已得到修復,但是還有部分尚未修復。


已修復的漏洞CVE信息如下:



CVE-2018-6294


CVE-2018-6295


CVE-2018-6296

CVE-2018-6297


CVE-2018-6298


CVE-2018-6299


CVE-2018-6300


CVE-2018-6301


CVE-2018-6302


CVE-2018-6303


* 參考來源:securelist,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

如何通過Emond在macOS上實現持久化訪問

TAG:FreeBuf |