来自Check Point的安全研究员Eyal Itkin分析了佳能EOS 80D数码单反相机中的图片传输协议(PTP),并发现了可能被用于多次攻击的六个漏洞。攻击者可以利用该漏洞破坏设备并在相机上安装勒索软件。

ransomware-on-dslr-camera.jpg

该研究表明,通过无线网络(WiFi)和用户PC(USB接口)的近距离攻击者可以传播恶意软件并感染个人相机。攻击者将勒索软件注入计算机和相机使得他们可以锁定用户的所有照片,除非用户支付赎金才能解除。该专家还分享了以下视频:

专家解释说,攻击者可以建立一个异常WiFi接入点并利用佳能EOS 80D数码单反相机的无线连接功能,另一种情况是攻击者通过连接的PC来破坏设备。

在线搜索专家首先发现了一个加密的固件,他在论坛上发现了一个便携式ROM转储器(一个自定义的固件更新文件,一旦加载,即可将相机的内存转储到SD卡中),这使得他可以转储相机的固件和将它加载到其反汇编程序(IDA Pro)中。

Image taken during a ROM Dump of the EOS 80D..png

专家将他的分析重点放在支持148个命令的PTP层中,其中38个接收输入缓冲区。

以下是Itkin发现的缺陷列表:

CVE-2019-5994-SendObjectInfo中的缓冲区溢出(操作码0x100C)

CVE-2019-5998-NotifyBtStatus中的缓冲区溢出(操作码0x91F9)

CVE-2019-5999- BLERequest中的缓冲区溢出(操作码0x914C)

CVE-2019-6000- SendHostInfo中的缓冲区溢出(opcode0x91E4)

CVE-2019-6001- SetAdapterBatteryReport中的缓冲区溢出(操作码0x91FD)

CVE-2019-5995-无提示的恶意固件更新

Itkin成功测试了CVE-2019-5998漏洞的利用代码,并通过USB连接实现了代码执行。

Figure 6 – Vulnerable code snippet from the NotifyBtStatus handler..png

下一步是通过无线连接获得代码执行,但最初,研究人员开发的漏洞利用脚本导致相机崩溃。下图显示了相机如何崩溃,供应商将其描述为“Err 70”。

Figure 8 – Crash screen we received when we tested our exploit PoCs..jpg

之后,专家用无线方式来处理上述问题,PTP支持的命令之一允许远程固件更新,无需任何用户交互。专家能够访问密钥以验证固件的真实性并加密。这意味着他能够制作虚假的恶意更新。Itkin能够开发USB和WiFi连接的漏洞,他还证明可以使用用于固件更新过程的功能加密摄像机存储卡上的文件。与此同时,佳能EOS 80D数码单反相机的用户可以通过安装固件版本1.0.3来解决这些问题。

披露时间如下:

2019年3月31日,check point向佳能报告了漏洞。

2019年5月14日,佳能证实了check point所有的漏洞。

在此期间,双方共同努力修补漏洞。

2019年7月8日,check point验证佳能的补丁。

2019年8月6日,佳能发布了该补丁,作为官方安全公告的一部分。

佳能还发布了安全公告,该公司证实,它并未发现利用上述漏洞的攻击。

查看详细研究内容:

https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/

 *参考来源:securityaffairs ,Sandra1432编译,转自FreeBuf