独家专访长亭科技安全研究员CC(因担心被黑产追杀,此为化名)。
▲CC(右)
修电脑、iCloud 被黑、Instagram 账户密码被撞库是这些年来不少知名人士私密照片被泄露的几种悲惨主流方式。
万万没想到,雷锋网宅客频道编辑不久前见到了一种“非主流”的“艳照”流出方式:
——好的,我不用相机、手机拍私密照片了行不行,这次伦家用微单相机,你还能把我怎么样?
——大家好,我是长亭科技的安全研究员CC,今天我演讲的题目是《 请问这是你的艳照吗?》。
CC 拿起两个一模一样的某大厂微单,实现了四个逆天破解:1.实现应用远程远程安装;2.照片窃取;3.底片加密;4.锁定界面(利用类似wannacry 的勒索病毒)。
事实上“艳照”在第二个操作“照片窃取”就能做到。
甚至,哪怕是刚和伴侣甜蜜拍下的私密照片就会直接“穿越”到攻击者的电脑上。更可气的是,攻击者不仅可以偷走照片,还能搞破坏,直接将相机里的招聘替换成任何照片,甚至加密底片以及锁定相机界面勒索,除了刷机,解锁相机别无他法。
酷炫的演示刚进行了十分钟,“我今天是演示为主,不太方便说更多细节。”CC 撂下一句话,然后下台了。
雷锋网(公众号:雷锋网)宅客频道编辑突然很不习惯:说好的平常都是演讲嘉宾拖堂呢?编辑不死心,最近终于约到了CC,揭开了攻破大厂微单的秘密。
好的,到这你可以看出,这篇文章终于正经起来,不是专门讲艳照的。
详解攻击
爱它,就破解它,找出它的漏洞,让它变得更安全——这条逻辑在安全圈里其实挺常见。
CC 本人就是微单用户,而且是这次被破解的微单品牌的半个粉丝。因为职业敏感,他经常对手上的数码产品痛下杀手。
现场演示时,CC 把相机接入了一个恶意的 Wi-Fi 热点,这是一个很关键的步骤,因为这样就可以控制网络流量来触发漏洞。
其实,安装应用有两种 Wi-Fi 连接方式,一种是相机作为热点Wi-Fi,还有一种是介入 WiFi 应用。只要用户在相机上一不留神打开一个恶意页面,不需要经过任何操作,就会被下载一个App。
从他的角度看,这次攻击很简单:恶意 App 安装后(漏洞所在的地方),发挥想象力,调用微单本身正常的功能来对照片进行读取(窃取上传),修改(加密上锁),显示交互界面(屏蔽用户操作锁定设备)。
之前也提到,用户只是懵 X 的干了两件事:打开相机里的应用市场,连上一个热点。
为什么相机被锁屏后非刷机不能恢复?
原来,这款智能微单里运行了一个 Linux 系统,智能 App 部分是一个具有图形界面的子系统。在 App 受感染的部分可以实现开机自启,但由于功能、续航的考虑,相机的图形界面并不完全是基于这个子系统,比如,一般的拍照不会受影响,使用系统重置(类似手机的“双清”)即可恢复。
光感染这个子系统并不能彻底劫持相机的全部功能,而是在某些特定的操作,如开启 App 列表、 Wi-Fi 传图、连接电脑的 USB 才会唤醒,甚至关机也会唤起一次。
“我试过可以劫持关机操作直到电池耗尽,要完整地控制整个相机,还需要提升一下权限,然后直接调用系统里自带的固件升级程序篡改文件系统。由于刷机这个操作需要相机和电脑的 USB 进行通信,理论上说,如果刷入了恶意的固件拒绝恢复成原厂系统,那么这个相机就废了。”CC说。
相机的电源开关不是物理的开关,如果相机软件被劫持或者失去响应,就只能扣电池才能关机。相机没有 “Ctrl + Alt + Del”,只要进入界面之后不响应按键输入,不退出程序,用户只能对着界面干瞪眼。
其实,攻击者还有更狠的做法——提升权限没有太大的难度,相机上使用的 Linux 等操作系统的版本相当陈旧,而且由于硬件的局限性,没有一些对抗漏洞的缓解措施,可以将已知的漏洞进行移植适配。
但是,CC说:“我只演示了对 App 子系统的控制,没有尝试整个替换固件,因为这样已经能达到演示效果,另外,相机对我来说还是挺贵的,不能玩过火了……”
回到悲剧发生的起点——如果你的安全意识很高,从来不乱接别人的 Wi-Fi ,这场攻击就不会发生了?
NONONO……
还有一个弱点:自己家里放着的路由器很可能先被入侵。
CC 长亭安全实验室的小伙伴之前在其他比赛(如 GeekPwn)上展示过多款家用路由器远程代码执行的问题。有一些路由器甚至不需要执行代码,只要一个CSRF(跨站请求伪造)漏洞就可以劫持路由器的流量。
到底要不要怕?
不过,你也不必对着手中的“老破小”相机唉声叹气,因为此次演示的攻击针对的是支持智能 App 的微单。
先有钱买个智能微单再说。
厂商和用户都要警惕的是,CC 在 XPwn 上的这次演示并非只针对一个型号的微单。根据厂商官网的介绍,支持智能 App 的微单和卡片机型号一共有二十余款。
“理论上这二十多款设备都是可以演示的,我测试了其中三个微单型号都成功了,不过,目前支持直接在数码相机上运行智能 App 的厂商应该只有这一家。”
除了微单,数码相机通过 Wi-Fi 传送照片目前已经是标配。虽然,也许不能实现直接装软件这样戏剧化的演示效果,但不排除其他厂商的设备在处理 Wi-Fi 连接的时候就不会产生可以利用的漏洞。
CC 告诉宅客频道,另一个市场占有率更大的相机品牌可以通过卡刷的方式刷入第三方开源固件,作为恶意软件只能通过诱导用户下载并刷机的方式感染,可操作性就非常小。
还有几点可以让你不那么恐慌:
1.相机本身不如手机那样与用户捆绑更多的身份和隐私信息;
2.不会有人整天把相机连上网
“相机就算玩出花,也没有智能手机上一个小漏洞的危害大。相机上面没有你的社交关系,没有你的聊天记录,没有你编辑到一半的周报,更不会有人 24 小时保持相机开机让自己有能被偷窥、偷录的机会……”CC 说。
因此这种攻击实际上具有较大局限性,但作为勒索病毒的宿主,相机一旦中招,用户可能真的只能破财,大骂一声“缺德”。
这样看来,CC 为什么要展示这样一种攻击?看起来好像也不会产生太大的影响。
他不这么认为。
作为一个摄影爱好者,CC 认为,相机的目标用户是不满足于手机拍摄效果的人。
手机厂商再怎么吹捧自己的产品,那都是给普通消费者看的。手机的轻便无可比拟,而相机在画质、外设等方面都具有物理上的优势。传感器尺寸、镜头之类完全都没有可比性。因此,相机里记录的就不仅仅是开饭、自拍和 45 度仰望天空,而可能是更值得留念的瞬间。
所以,在演示环节里,CC 加入了勒索病毒的演示效果,对照片进行加密,以及限制设备的正常使用,这是他觉得最危险的一点。
这个“摄影爱好者”的原话是:“满载回忆的相机突然弹出了陌生的界面,打开存储卡一看照片都被加密了,肯定是很难受的。除了普通人,一些职业风光和婚礼摄影师也在使用微单进行创作。对于他们来说,丢失原片那就是重大事故。因为相机中了恶意软件而导致付诸东流,无论物质还是精神上的损害都是相当大的。”
其实,此次破解的终极目的是一次提醒:当一切电子产品、家居变得越来越智能化,曾经在个人电脑上的传统威胁就可以找到新的滋生土壤,甚至能直接在物理世界造成破坏。
智能硬件由于本身的计算能力限制,甚至本身的设计缺陷,在安全防御上落后于个人电脑。一些智能硬件产品会默认周围所处的网络环境是可信任的,给了黑客很多机会。
普通用户和厂商应该怎么办?
1.对于普通用户来说,不需要过于紧张,在前文中提到的攻击手段都需要一定的条件——连 Wi-Fi,开应用市场。
2.对有智能 App 需求的职业摄影师来说,一定要选择官方渠道购买安装应用和升级固件。App 安装可以完全在电脑上操作,因此尽量不要直接使用相机自带的应用市场通过 Wi-Fi 下载。
前面也提到,另一市场占有率更具优势的单反相机品牌可以通过卡刷切换开源固件,有喜欢动手折腾相机的玩家也要注意自己下载回来的固件是不是值得信任的。
3.需要说明的是这次演示的漏洞不在 Wi-Fi 传图功能中,而且 Wi-Fi 传图需要手机接入相机自身的热点,即使有人找到了可攻击的漏洞,首先还要获得热点随机生成的密码。
在分析的过程中可以看到厂商在定制系统的时候已经尽可能地减小了攻击面,比如 Wi-Fi 传图的热点是随机生成的密码,在代码逻辑中还可以看到不少针对潜在攻击输入的过滤。
虽然这次使用的漏洞与开源软件无关,但应用市场本身还是受到浏览器漏洞的威胁,加之其版本较低,可以使用的漏洞利用恐怕能列出来很长一串。其实对于这种硬件客观具有局限性,也保证保持软件持续更新的产品(不像手机可以通过网络进行 OTA),尽可能减少攻击面也可以让黑客难以下手。
——以上建议由 CC 提供。
