?���?低曃炇疉1互聯(lián)網(wǎng)報(bào)警盒子破解細(xì)節(jié)分析
螢石是海康威視旗下安全生活業(yè)務(wù)品牌,為家庭和小微企業(yè)用戶(hù)提供可視化安全為基礎(chǔ)的關(guān)愛(ài)��、溝通��、分享服務(wù)�。螢石業(yè)務(wù)涵蓋螢石云視頻APP����、螢石云視頻服務(wù)平臺(tái)�、系列互聯(lián)網(wǎng)產(chǎn)品(攝像機(jī)、硬盤(pán)錄像機(jī)�、視頻盒子、報(bào)警盒子���、云存儲(chǔ))等�����。
攻擊點(diǎn)分析:
螢石A1互聯(lián)網(wǎng)報(bào)警盒子使用“全無(wú)線(xiàn)解決方案”,傳感器的報(bào)警通過(guò)433.92MHz射頻信號(hào)發(fā)送給報(bào)警主機(jī),報(bào)警主機(jī)可以通過(guò)Wi-Fi聯(lián)網(wǎng),將報(bào)警上傳螢石云端,云端會(huì)將信息推送到手機(jī)端的“螢石云視頻”APP向用戶(hù)報(bào)警��。
433MHz是使用非常普遍的ISM免執(zhí)照頻段,尤其在智能家居領(lǐng)域,其穿透和繞射能力強(qiáng),傳輸距離遠(yuǎn),但不同于Wi-Fi和zigbee具有加密功能,433MHz通常采用明文傳輸,其安全性較差,因而作為我們優(yōu)先考慮的攻擊點(diǎn)���。
漏洞描述:
攻擊者利用數(shù)字射頻處理技術(shù)和軟件無(wú)線(xiàn)電工具,重放所有報(bào)警傳感器原始射頻信號(hào),并繞過(guò)系統(tǒng)防重放機(jī)制,造成可以推送到用戶(hù)手機(jī)端的假報(bào)警信息。
漏洞詳情:
抓取了報(bào)警傳感器在433.92MHz的所有原始射頻信號(hào),包括門(mén)磁(開(kāi),關(guān))����、紅外、煙感��、遙控器(緊急呼救�����、在家模式�、外出模式、睡眠模式�、靜音),并對(duì)信號(hào)格式進(jìn)行了分析。
1. 每次報(bào)警會(huì)連續(xù)發(fā)送五次射頻信號(hào)(煙霧報(bào)警為十次),且五次的內(nèi)容相同���。
2. 單次射頻信號(hào)包含兩個(gè)數(shù)據(jù)包����。
3. 可以明顯看出信號(hào)使用ASK調(diào)制,解調(diào)后可得數(shù)據(jù)包二進(jìn)制內(nèi)容����。
4. 對(duì)信號(hào)二進(jìn)制作進(jìn)一步分析:第一個(gè)數(shù)據(jù)包內(nèi)容不變,固定為兩種(門(mén)磁、遙控器為一種,煙感��、紅外為一種)��。第二個(gè)數(shù)據(jù)包應(yīng)包含傳感器序列號(hào)和種類(lèi)等信息,其中序列號(hào)位于數(shù)據(jù)包開(kāi)頭位置�����。
對(duì)于同一個(gè)傳感器所發(fā)出的同一種報(bào)警信號(hào),在不同時(shí)刻記錄的第二個(gè)數(shù)據(jù)包部分不同(如下圖),因此推測(cè)其包含滾動(dòng)碼,而相同的部分為其序列號(hào)位置�����。
5. 滾動(dòng)碼在原理上可以放重放,但實(shí)驗(yàn)發(fā)現(xiàn)重放攻擊仍然有效,因?yàn)橹鳈C(jī)只對(duì)信號(hào)作單次校驗(yàn),即與上一次收到的有效信號(hào)作比較以防重放。但這種機(jī)制對(duì)于該產(chǎn)品是十分無(wú)效的,因?yàn)榧词怪鳈C(jī)不報(bào)警,傳感器也會(huì)經(jīng)常性地發(fā)射射頻信號(hào),如門(mén)磁和紅外,因?yàn)橹胤诺男盘?hào)和主機(jī)收到的上一次有效信號(hào)一樣的概率極低��。另外也可以簡(jiǎn)單地通過(guò)重放兩段不同的有效信號(hào)以繞過(guò)該機(jī)制�����。
漏洞利用:
1. 利用該漏洞可以重放傳感器信號(hào)實(shí)現(xiàn)假報(bào)警,使用戶(hù)經(jīng)歷不必要的慌亂,進(jìn)行多次重放攻擊可以使用戶(hù)不堪其擾,從而喪失對(duì)產(chǎn)品的信任,放棄使用該產(chǎn)品��。在用戶(hù)不知情的情況下可能會(huì)對(duì)品牌產(chǎn)生不良影響�。
2. 對(duì)于竊賊也可以使用無(wú)線(xiàn)電進(jìn)行入室盜竊,方法是重放遙控器信號(hào)使主機(jī)切換回在家模式,這樣即使被門(mén)磁和紅外探測(cè)到了主機(jī)也不會(huì)報(bào)警。另一種簡(jiǎn)單粗暴的方法就是直接進(jìn)行無(wú)線(xiàn)電干擾,使所有傳感器失效,實(shí)驗(yàn)并未發(fā)現(xiàn)主機(jī)對(duì)大功率無(wú)線(xiàn)電干擾有任何檢測(cè)和報(bào)警��。
本文由 360安全播報(bào) 原創(chuàng)發(fā)布���,如需轉(zhuǎn)載請(qǐng)注明來(lái)源及本文地址�。
本文地址:http://www.hackdig.com/09/hack-25808.htm
