导语:逆向东芝FlashAir SD存储卡允许研究人员执行远程代码,并且可以允许他添加其他恶意或实用功能,在今年的拉斯维加斯,像许多优秀的黑客一样,研究员Guillaume Valadon带来了他的精彩议题。
逆向东芝FlashAir SD存储卡允许研究人员执行远程代码,并且可以允许他添加其他恶意或实用功能,在今年的拉斯维加斯,像许多优秀的黑客一样,研究员Guillaume Valadon带来了他的精彩议题。
事实上,当ANSSI的网络安全实验室负责人尝试将一个位于他家周围的廉价无线数码相机变成带有东芝FlashAir SD存储卡的无线数码相机时,他应该完全不知道自己将要进行一场为期三年的冒险。
Valadon表示,
这件事成了我业余时间一直在做的事情,我开始努力的去掌握如何对硬件进行逆向说。
最终,Valadon节省了无线数码相机(约30美元)的成本,并成就了自己这个精彩的议题。
在周三举行的黑帽会议上,Valadon演示了他如何攻击东芝FlashAir SD存储卡并能够在卡上执行代码。他指出,挑战在于这个卡片其实是一个虚拟的黑盒。卡上运行的身份不明的操作系统,神秘的固件和定制的不明东芝芯片组都让他无所适从。
被Valadon攻击的东芝FlashAir卡是运行固件V.01的2015款W-03版本,现在仍然可以以25美元左右的价格广泛使用。但自那以后,东芝在2017年推出了W-04型号,该型号并未被攻破。
Valadon阐述道:
首先,我需要一个二进制文件来分析,然后我需要找到CPU架构,操作系统,最后是执行向量,。执行向量或payload可以是从缓冲区溢出到未记录的命令(例如“print a calc.”)的任何内容。
为了完成对卡的拆分,Valadon表示他使用了大约八个开源工具和工具集,如Sibyl,flasher和R2Scapy,这些是基于python的交互式数据包操作程序。
在打开卡片并检查组件之后,他开始精心搜索公开的组件文档,并使用工具来梳理操作系统生成的错误字符串。
Valadon说,
许多错误字符串具有相同的格式。这个引起了我的注意:它是三个字母,下划线,三个字母,一个错误代码和一个函数名称。'wup_tsk'看起来像是一个很有希望的线索。
Valadon继续讲到,
在互联网上搜索“wup_tsk”并引用到网站在任务同步功能上。“搜索上显示wup_tsk用于唤醒名为T-Kernel的系统操作中的任务,。T-Kernel是TRON系列的一部分 – 实时操作系统Nucleus。
使用类似的逆向工程测量技术,Valadon找到了卡的CPU,即东芝媒体嵌入式处理器(MeP)。
一旦他准确的识别出系统固件,操作系统和组件,PoC漏洞就可以继续进行。
Valadon表示,
我发现该卡正在使用安全社区似乎不知道的操作系统和芯片架构,我感到非常惊讶。首先,我想寻找远程漏洞。我对该卡的802.11组件非常感兴趣。
Valadon最终针对该卡的DHCP,HTTP和802.11网络中的漏洞进行了攻击。然后他破解了卡片并用自己的手动更新了固件。从那里可以在卡的WiFi范围附近远程执行代码。
Valadon说,
这是已知的第一次对FlashAir上的本机代码执行。此外,这可能是嵌入式系统复杂分析的典型例子。
对于Valadon,他想做的其实只是允许他在他的无线相框上无线显示图像。但对于其他黑客来说,可能会添加很多应用程序,这些应用程序可能包括禁止摄影师在一些环境中拍照时的动态自动加密功能。或者可能将存储在相机上的图像发送给第三方。