數位相機 PTP 協定驚爆出現漏洞,駭客可發動 OTP 植入勒索軟體攻擊
長久以來,勒索軟體(Ransomware)一直是個人電腦上十分泛濫常見的惡意攻擊,其最耳熟能詳的攻擊手法就是,入侵電腦的駭客會將電腦某顆硬碟或重要資料夾加密,使用者唯有支付贖金才能正常解開硬碟與資料來以存取其中重要的檔案。如今這類惡意攻擊的魔掌開始伸向單眼數位相機(DSLR)上,開始打起加密劫持並勒索人們心愛照片的主意。
「任何『智慧型』裝置,包括 DSLR 在內,都存在易受駭客攻擊的風險,」以色列網路安全公司 Check Point Software Technologies 安全研究人員 Eyal Itkin 於週日表示,經過實測,最新型號的 Canon EOS 80D DSLR 在進行 USB 和 Wi-Fi 連接時,會有招致勒索軟體或其他惡意軟體攻擊的風險存在。
但這次研究人員實測勒索軟體攻擊的重點不在 USB,而是確認了當前數位相機所普遍採用的圖片傳輸協定( Picture Transfer Protocol,PTP)存在漏洞,這使得安全研究人員能夠經由惡意 Wi-Fi 連接,成功運用勒索軟體感染 Canon EOS 80D DSLR。
其實數位相機早有被駭客入侵劫持的紀錄,其透過的方式就是 USB 連接。事實上,任何透過 USB 與電腦相連的裝置,包括數位相機、USB 隨身碟、讀卡機、智慧型手機等,都有被惡意攻擊的可能性,這也是何以許多公司(尤其高科技半導體大廠為然)會嚴禁使用 USB 裝置的緣故。
支援 PTP 相機都有遭攻擊可能
Check Point 安全研究人員 Eyal Itkin 在週日於拉斯維加斯舉行的 DEF CON 駭客大會上受注目的展示重點,就是突顯當前廣泛使用在各大相機上的 PTP 傳輸協定存在可被駭客用來發動勒索軟體攻擊的漏洞。換言之,除了用來展示的 Canon EOS 80D DSLR 之外,所有支援 PTP 協定的數位相機都有可能在進行空中下載(On the Air,OTA)時而被攻擊勒索的可能。
Canon 相機在執行 PTP 協定時發現的 6 個漏洞中,一些漏洞還為各種攻擊提供了如何入侵的選項。攻擊的最後階段會是完全接管裝置,並允許駭客在數位相機上部署任何惡意軟體。在支援無線連接的裝置上,可以藉由一個惡意 Wi-Fi 存取點(AP)進行劫持。再不然,駭客也可以透過與數位機相連的電腦來對相機發動攻擊。
在越過重重關卡成功獲得非加密形式的韌體之後,Itkin 得以分析 PTP 是如何在 Canon 相機中實作的。他們掃描了所有 148 個受支援的命令,並將列表縮小到 38 個會接收輸入緩衝區的命令。
以下茲列出幾個漏洞百出的命令及其唯一數字操作碼(Numeric Opcode)。不過,並非所有命令都是對相機進行未經授權惡意存時需要的。
- CVE-2019-5994 – SendObjectInfo 命令緩衝區溢位(opcode 0x100C)
- CVE-2019-5998 – NotifyBtStatus 命令緩衝區溢位 (opcode 0x91F9)
- CVE-2019-5999 – BLERequest 命令緩衝區溢位 (opcode 0x914C)
- CVE-2019-6000 – SendHostInfo 命令緩衝區溢位 (opcode0x91E4)
- CVE-2019-6001 – SetAdapterBatteryReport 命令緩衝區溢位 (opcode 0x91FD)
- CVE-2019-5995 – 惡意韌體背景預設更新
目前 Canon 已釋出更新版韌體
最突破性的是,他發現了一個完全不需要與使用者進行任何互動,就能允許遠端韌體更新的 PTP 命令。透過逆向工程,他破解了驗證韌體合法性並用來加密韌體的金鑰。以這種方式構建的惡意更新將擁有正確的簽章,而且該數位相機會認為它是合法的,因為它通過了驗證。
Itkin 的努力得到了回報,它不僅能夠利用 USB 和 Wi-Fi 發動漏洞入侵攻擊,還找到一個能將數位相機儲存卡上的檔案加以加密的方法:使用韌體更新過程中所採用的相同加密功能。Itkin 在展示最後,成功讓 Canon EOS 80D 相機感染勒索軟體,並在相機螢幕上秀出要求使用支付贖金的訊息。
Check Point 是在 3 月 31 日向 Canon 通報了這個漏洞,並於 5 月 14 日進行驗證,兩家並共同致力修補了這漏洞。自 7 月 30 日開始,在歐亞兩洲的 Canon 客戶已可下載最新 1.03 版本的韌體更新檔以修補該漏洞,至於美國地區也自 8 月 6 日起開始提供相同版本韌體更新的服務。
為了避免遭到攻擊的可能,Check Point 安全人員呼籲使用者盡快確認並下載更新最新版本的韌體,並且建議數位相機不使用時務必關閉 Wi-Fi 功能,並儘量避免在公共場合透過公共 Wi-Fi AP 的連線處理個人相片。至於 Canon 之外的其他廠牌數位相機使用者,也要密切注意官方是否有釋出最新韌體更新訊息,以避免遭到攻擊的可能性。