硬件设备黑客入侵操控:一种篡改IoT固件的攻击方式

随着智能硬件进入到人们的生活,人们与智能硬件之间的联系更加紧密。大家是否有想过,自己身边的硬件设备有可能已经被黑客入侵操控?

就在上个月,央视报道了扫地机器人如何变成“间谍”的新闻。黑客利用漏洞伪装成用户登录,然后对扫地机器人进行远程遥控,通过摄像头和手机的连接实时监控家中的环境 。此前,媒体还曝光了家用摄像头的安全风险,黑客可以远程遥控摄像头进行拍摄。

物联网中那些威胁的场景

1、设备出厂前留有后门或由内鬼批量植入恶意代码

2、第三方销售渠道(包括代购)在销售前,篡改软硬件内容或是在里面加入后门代码等等度。

3、经他人(维修点维修人员、同事朋友)手后,固件内容被篡改,待日后获取用户隐私,追踪用户位置等。

面对层出不穷的物联网设备安全事件,顶象技术的安全工程师用msp430开发板来演示一种篡改IoT固件内容的攻击方式。

模拟通讯场景

a、实验所采用的开发板使用的是TI公司的msp430f149芯片。

b、开发板有4个自定义按键:S1~S4。

c、开发板有8个LED指示灯:D1~D8。

d、有一个开发板可扩展1602LCD液晶显示屏。

根据开发板硬件原理图,P6OUT的第0~第7位分析表示D1~D8号LED灯,置0亮灯,置1灭灯。因此,0xFC对应D1和D2亮;

图1 开发板以及本实验中涉及到的硬件部分

假设有A和B两个端。当按S1/S2/S3时,从A发送特定加密数据给B;当按S4时,B接收信息并解密使用。

由于三组操作的步骤是相似的,这里只展示先按S1,再按S4这组操作的效果展示:

a、按S1键。A端将字符串"FC"加密发送给B。

b、按S4键。B端读取数据,然后解密并转换成整数,赋值给P6OUT。

攻击具体实现

按S1键。A端将字符串"FC"加密发送给B。

按S4键。B端读取数据,并解密并转换成整数,赋值给P6OUT,来点亮LED灯。

运行结果

Hook攻击测试

拦截Encrypt, 按S1/S2/S3键时将加密前后信息显示到液晶屏上。

拦截Decrypt, 按S4键时将解密前后信息显示到液晶屏上。

对于msp430芯片, 一般厂商在出厂时会烧断熔丝来防止固件提取。但事实上msp430芯片只需要支付几百块RMB,就可以将熔丝修复,并提取出固件内容。由于本测试是基于开发板,所以有关于提取固件的内容就不在这里详述了。

首先用工具将固件内容以TI-TXT的方式dump下来, 然后将用于Hook的opcode植入进去, 然后对TI-TXT文件完成修改操作。Hook完成后用Beyond Compare查看TI-TXT的对比如下图:

图3 对TI-TXT文件处理后的对比:左侧为原始固件内容,右侧为加入Hook代码后的固件内容

将改后的TI-TXT文件推回到开发板的芯片中。

运行结果

注意:按S1的图中,请无视LED灯(D1~D8),因为这些灯是上次操作S4遗留下来的。S1的操作对LED灯没有任何影响。

图4 按S1键,在液晶屏上显示"FC"的加密过程

随着智能硬件进入到人们的生活,人们与智能硬件之间的联系更加紧密。大家是否有想过,自己身边的硬件设备有可能已经被黑客入侵操控?

就在上个月,央视报道了扫地机器人如何变成“间谍”的新闻。黑客利用漏洞伪装成用户登录,然后对扫地机器人进行远程遥控,通过摄像头和手机的连接实时监控家中的环境 。此前,媒体还曝光了家用摄像头的安全风险,黑客可以远程遥控摄像头进行拍摄。

物联网中那些威胁的场景

1、设备出厂前留有后门或由内鬼批量植入恶意代码

2、第三方销售渠道(包括代购)在销售前,篡改软硬件内容或是在里面加入后门代码等等度。

3、经他人(维修点维修人员、同事朋友)手后,固件内容被篡改,待日后获取用户隐私,追踪用户位置等。

面对层出不穷的物联网设备安全事件,顶象技术的安全工程师用msp430开发板来演示一种篡改IoT固件内容的攻击方式。

模拟通讯场景

a、实验所采用的开发板使用的是TI公司的msp430f149芯片。

b、开发板有4个自定义按键:S1~S4。

c、开发板有8个LED指示灯:D1~D8。

d、有一个开发板可扩展1602LCD液晶显示屏。

根据开发板硬件原理图,P6OUT的第0~第7位分析表示D1~D8号LED灯,置0亮灯,置1灭灯。因此,0xFC对应D1和D2亮;

开发板以及本实验中涉及到的硬件部分

假设有A和B两个端。当按S1/S2/S3时,从A发送特定加密数据给B;当按S4时,B接收信息并解密使用。

由于三组操作的步骤是相似的,这里只展示先按S1,再按S4这组操作的效果展示:

a、按S1键。A端将字符串"FC"加密发送给B。

b、按S4键。B端读取数据,然后解密并转换成整数,赋值给P6OUT。

攻击具体实现

按S1键。A端将字符串"FC"加密发送给B。

按S4键。B端读取数据,并解密并转换成整数,赋值给P6OUT,来点亮LED灯。

运行结果

Hook攻击测试

拦截Encrypt, 按S1/S2/S3键时将加密前后信息显示到液晶屏上。

拦截Decrypt, 按S4键时将解密前后信息显示到液晶屏上。

对于msp430芯片, 一般厂商在出厂时会烧断熔丝来防止固件提取。但事实上msp430芯片只需要支付几百块RMB,就可以将熔丝修复,并提取出固件内容。由于本测试是基于开发板,所以有关于提取固件的内容就不在这里详述了。

首先用工具将固件内容以TI-TXT的方式dump下来, 然后将用于Hook的opcode植入进去, 然后对TI-TXT文件完成修改操作。Hook完成后用Beyond Compare查看TI-TXT的对比如下图:

对TI-TXT文件处理后的对比:左侧为原始固件内容,右侧为加入Hook代码后的固件内容

将改后的TI-TXT文件推回到开发板的芯片中。

运行结果

注意:按S1的图中,请无视LED灯(D1~D8),因为这些灯是上次操作S4遗留下来的。S1的操作对LED灯没有任何影响。

按S1键,在液晶屏上显示"FC"的加密过程

在按S1键后再按S4键,则点亮D1和D2灯,并在液晶屏上显示"FC"的解密过程

顶象物联网安全防护方案

顶象安全专家马涛建议:

1、首先,尽量从正规渠道购买信誉较高的产品。

2、其次,设备出现故障尽量选择官方指定维修点。

3、再次,自己的有可能涉及到隐私、敏感内容的智能硬件设备,如果可能,建议不要让它单独经他人之手。

4、最后,建议选择使用了强度较高安全解决方案的智能硬件设备。因为这种设备的修改固件的难度极大,安全性更好。

使用顶象IoT安全编译器和顶象IoT安全SDK可以使hook无法进行,同时逆向破解难度更高,使攻击者无法破解其内部工作逻辑,从而保证了这些IoT设备在复杂、不安全的环境中,仍能按照预设的功能正常、安全的运行。

图5 在按S1键后再按S4键,则点亮D1和D2灯,并在液晶屏上显示"FC"的解密过程

顶象物联网安全防护方案

顶象安全专家马涛建议:

1、首先,尽量从正规渠道购买信誉较高的产品。

2、其次,设备出现故障尽量选择官方指定维修点。

3、再次,自己的有可能涉及到隐私、敏感内容的智能硬件设备,如果可能,建议不要让它单独经他人之手。

4、最后,建议选择使用了强度较高安全解决方案的智能硬件设备。因为这种设备的修改固件的难度极大,安全性更好。

使用顶象IoT安全编译器和顶象IoT安全SDK可以使hook无法进行,同时逆向破解难度更高,使攻击者无法破解其内部工作逻辑,从而保证了这些IoT设备在复杂、不安全的环境中,仍能按照预设的功能正常、安全的运行。

或许还想看

本文来自企鹅号 - HACK学习媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

2018年的黑客攻击 你做好准备了吗?

Equifax黑客事件泄露了1.45亿社会安全号,WannaCry勒索软件锁定了大量计算机并要求用户支付比特币赎金。经过了这一整年,我们还需要更多证据来说服自己...

4019
来自专栏安恒信息

重磅发布 | 安恒于世界互联网大会首次发布“邮箱安全综合解决方案”

邮箱系统在互联网中扮演着重要的角色,个人、企业、政府等用户将邮箱系统作为通讯、传输文件的重要组成部分。邮箱系统保存着政府、党政机关、各企事业单位的大量敏感信息。...

2314
来自专栏FreeBuf

揭秘:短信拦截木马背后的黑色产业

0×01 概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被...

4318
来自专栏程序员宝库

5G标准来了!中国预计投资1.5万亿;黑客宣布无条件删除A站泄露数据库;美图开源DPoS算法;CMake 3.11.4发布

第一阶段全功能完整版 5G 标准正式出台,带来“全功能”的 5G 网络能力。这一标准是 5G 发展的重要里程碑,下一步将投入商用阶段。

2004
来自专栏黑白安全

小隐隐于野:基于TCP反射DDoS攻击分析

众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UD...

1702
来自专栏IT平头哥联盟

前端优化汇总,到底该不该做?

大家好,这里是@IT·平头哥联盟,我是首席填坑官——苏南(South·Su),今天是国庆节的第二天,这个假期没有外出(不要问我为什么,自己脑补~?),前些天分享...

1656
来自专栏安恒信息

纽约时报称其网站故障与黑客无关

纽约时报的网站在本周三早晨至少有一个小时不能正常显示,但是该报称此事件与外界担心的恶意攻击无关。 纽约时报的网站在美国东部时间11点半第一...

2676
来自专栏区块链

安全告警:挖矿病毒通过各大搜索引擎传播

【IT168 资讯】如果有一天你的电脑沦为不法分子的工具你会作何感想?对于他们来讲你的电脑只是替他们“工作“的”肉鸡“。事实上,这种事确实是一直存在着的。近期,...

2826
来自专栏机器人网

如何给纸质信件也加个密码?

在这个重视加密通信与安全电子邮件服务的时代,芬兰科技研究院(VTT)的研究人员们日前展示一种以密码保护的传统纸质信封,能在指定收件人取得邮件或由其他人代收邮件...

30610
来自专栏听雨堂

首例利用智能路由网关犯罪嫌疑人被捕:罪名流量劫持

2333

扫码关注云+社区

领取腾讯云代金券