為了節省30美元 他開啟了東芝無線SD卡逆向之旅

逆向東芝FlashAir SD存儲卡允許研究人員執行遠程代碼，並且可以允許他添加其他惡意或實用功能，在今年的拉斯維加斯，像許多優秀的黑客一樣，研究員Guillaume Valadon帶來了他的精彩議題。

事實上，當ANSSI的網路安全實驗室負責人嘗試將一個位於他家周圍的廉價無線數碼相機變成帶有東芝FlashAir SD存儲卡的無線數碼相機時，他應該完全不知道自己將要進行一場為期三年的冒險。

Valadon表示，

這件事成了我業餘時間一直在做的事情，我開始努力的去掌握如何對硬體進行逆向說。

最終，Valadon節省了無線數碼相機（約30美元）的成本，並成就了自己這個精彩的議題。

在周三舉行的黑帽會議上，Valadon演示了他如何攻擊東芝FlashAir SD存儲卡並能夠在卡上執行代碼。他指出，挑戰在於這個卡片其實是一個虛擬的黑盒。卡上運行的身份不明的操作系統，神秘的固件和定製的不明東芝晶元組都讓他無所適從。

被Valadon攻擊的東芝FlashAir卡是運行固件V.01的2015款W-03版本，現在仍然可以以25美元左右的價格廣泛使用。但自那以後，東芝在2017年推出了W-04型號，該型號並未被攻破。

Valadon闡述道：

首先，我需要一個二進位文件來分析，然後我需要找到CPU架構，操作系統，最後是執行向量，。執行向量或payload可以是從緩衝區溢出到未記錄的命令（例如「print a calc.」）的任何內容。

為了完成對卡的拆分，Valadon表示他使用了大約八個開源工具和工具集，如Sibyl，flasher和R2Scapy，這些是基於python的互動式數據包操作程序。

在打開卡片並檢查組件之後，他開始精心搜索公開的組件文檔，並使用工具來梳理操作系統生成的錯誤字元串。

Valadon說，

許多錯誤字元串具有相同的格式。這個引起了我的注意：它是三個字母，下劃線，三個字母，一個錯誤代碼和一個函數名稱。"wup_tsk"看起來像是一個很有希望的線索。

Valadon繼續講到，

在互聯網上搜索「wup_tsk」並引用到網站在任務同步功能上。「搜索上顯示wup_tsk用於喚醒名為T-Kernel的系統操作中的任務，。T-Kernel是TRON系列的一部分 - 實時操作系統Nucleus。

使用類似的逆向工程測量技術，Valadon找到了卡的CPU，即東芝媒體嵌入式處理器（MeP）。

一旦他準確的識別出系統固件，操作系統和組件，PoC漏洞就可以繼續進行。

Valadon表示，

我發現該卡正在使用安全社區似乎不知道的操作系統和晶元架構，我感到非常驚訝。首先，我想尋找遠程漏洞。我對該卡的802.11組件非常感興趣。

Valadon最終針對該卡的DHCP，HTTP和802.11網路中的漏洞進行了攻擊。然後他破解了卡片並用自己的手動更新了固件。從那裡可以在卡的WiFi範圍附近遠程執行代碼。

Valadon說，

這是已知的第一次對FlashAir上的本機代碼執行。此外，這可能是嵌入式系統複雜分析的典型例子。

對於Valadon，他想做的其實只是允許他在他的無線相框上無線顯示圖像。但對於其他黑客來說，可能會添加很多應用程序，這些應用程序可能包括禁止攝影師在一些環境中拍照時的動態自動加密功能。或者可能將存儲在相機上的圖像發送給第三方。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！