近些年來(lái)各家廠商把“智能”攝像頭市場(chǎng)做的是風(fēng)生水起，許多消費(fèi)者也想靠這些大眼睛來(lái)守護(hù)一方平安。對(duì)普通人來(lái)說(shuō)，這些智能化的攝像頭確實(shí)相當(dāng)方便，只需連上網(wǎng)絡(luò)，你就能在千里之外獲取自己需要的畫面。不過(guò)，在你享受方便之余又很容易掉入陷阱，因?yàn)榘踩┒幢澈蟛刂膲娜颂膳铝恕?/p>

最近，ESET 智能家居的研究就顯示，D-Link 的 DCS-2132L 云攝像頭已然中招，攻擊者不但能借助安全漏洞截獲并“欣賞”你的監(jiān)控視頻，還能操縱設(shè)備固件。

對(duì)用戶來(lái)說(shuō)，這款 D-Link 攝像頭最嚴(yán)重的問(wèn)題就是其未加密的視頻流傳輸。攝像頭與云端以及云端和客戶端之間完全不設(shè)防的設(shè)計(jì)為“中間人”（MitM）發(fā)動(dòng)攻擊提供了肥沃的土壤，入侵者想調(diào)取視頻流簡(jiǎn)直易如反掌。

ESET 的研究顯示，客戶端與攝像頭是通過(guò)接口 2048 上的代理服務(wù)器進(jìn)行通信的，使用了 D-Link 自有的信道協(xié)議（TCP 信道）。不幸的是，通過(guò)這些信道的數(shù)據(jù)流只有一部分得到了加密，而大部分敏感內(nèi)容（比如攝像頭 IP、MAC 地址、版本信息、視頻與音頻流請(qǐng)求等）都完全不設(shè)防。

追根溯源上去，這一切問(wèn)題的根源都是 request.c 文件中的一個(gè)條件（D-Link自定義開(kāi)源 boa Web服務(wù)器源代碼的一部分），它負(fù)責(zé)處理對(duì)攝像頭的 HTTP 請(qǐng)求。由于來(lái)自 127.0.0.1 的所有 HTTP 請(qǐng)求都被提升到管理員級(jí)別，因此潛在攻擊者拿到了對(duì)設(shè)備的完全訪問(wèn)權(quán)限。

截獲視頻與音頻流

黑客發(fā)動(dòng)中間人攻擊后，就能利用服務(wù)器上 TCP 連接的數(shù)據(jù)流截獲 HTTP 請(qǐng)求（視頻與音頻數(shù)據(jù)包）。對(duì)其進(jìn)行重構(gòu)與重播后，攻擊者就能在任何時(shí)間獲取攝像頭攝錄的音頻或視頻流，而且是 M-JPEG 與 H.264 雙格式的。

當(dāng)然，重構(gòu)視頻流也沒(méi)那么容易，攻擊者還得一步一步來(lái)（這個(gè)過(guò)程也可以借助簡(jiǎn)單的程序或腳本實(shí)現(xiàn)自動(dòng)化）：

1. 識(shí)別出哪些流量代表了視頻流，因?yàn)檫@里的流量由多個(gè)數(shù)據(jù)塊組成，每個(gè)數(shù)據(jù)塊都有特定的標(biāo)題和定義的長(zhǎng)度；

2. 將數(shù)據(jù)部分與標(biāo)題分離開(kāi)來(lái)；

3. 最后，將其中的視頻合成一個(gè)文件。

需要注意的是，播放這個(gè)視頻文檔可能有點(diǎn)麻煩，因?yàn)樗鼈冞€是 RAW 格式。不過(guò)，許多播放器（比如 MPlayer）只需一個(gè)插件就能吃掉這些文檔。

有缺陷的插件

這還沒(méi)完，“mydlink services”（網(wǎng)絡(luò)瀏覽器插件）中也有重大發(fā)現(xiàn)。

這款網(wǎng)絡(luò)瀏覽器插件不但“控制”著客戶端瀏覽器中 TCP 信道和實(shí)時(shí)視頻播放的創(chuàng)建，還負(fù)責(zé)通過(guò)信道轉(zhuǎn)發(fā)對(duì)視頻和音頻數(shù)據(jù)流的請(qǐng)求，同時(shí)偵聽(tīng)著本地服務(wù)器上動(dòng)態(tài)生成的端口。

由于該信道可用于整個(gè)操作系統(tǒng)，因此用戶計(jì)算機(jī)上的任何應(yīng)用或用戶都能通過(guò)簡(jiǎn)單的請(qǐng)求輕松接入攝像頭的網(wǎng)頁(yè)界面。整個(gè)過(guò)程連授權(quán)都不需要，因?yàn)閺臄z像頭網(wǎng)絡(luò)服務(wù)器發(fā)出的 HTTP 請(qǐng)求在從本地服務(wù) IP 訪問(wèn)時(shí)會(huì)自動(dòng)升級(jí)到管理員級(jí)別。

這個(gè)漏洞還給攻擊者行了方便，只要他們?cè)敢?，就能替換掉 D-Link 攝像頭的固件，更加為所欲為。

“貍貓換太子”

最新消息顯示，D-Link 已經(jīng)成功修復(fù)了“mydlink services”插件。

不過(guò)，只要黑客愿意，他們還是能通過(guò) D-Link 的信道協(xié)議替換用戶固件。完成“貍貓換太子”的操作，攻擊者只需修改信道中的流量即可（用特殊的 POST 請(qǐng)求替換視頻流 GET 請(qǐng)求）。

當(dāng)然，普通黑客肯定玩不轉(zhuǎn)這一步，因?yàn)槿棠愣嫉米袷匦诺绤f(xié)議，將固件植入不同的區(qū)塊。不過(guò)，成功之后就簡(jiǎn)單多了。那些自制固件能開(kāi)后門、監(jiān)控軟件、植入木馬，甚至可以讓受害者的智能攝像頭幫忙挖礦。由于無(wú)需授權(quán)，攻擊者甚至能直接讓你的設(shè)備變磚。

插件雖然修好了，但屁股還是沒(méi)擦干凈

去年 8 月底，ESET 就將相關(guān)情況反映給了 D-Link。后者反應(yīng)也相當(dāng)及時(shí)，承諾會(huì)盡快跟進(jìn)并完成修復(fù)。后續(xù)測(cè)試發(fā)現(xiàn)，D-Link 確實(shí)解決了一部分漏洞問(wèn)題，“mydlink services”插件也是絕對(duì)安全，但有些問(wèn)題依舊存在。

截至發(fā)稿前，最新版本固件的更新日期依然停留在 2016 年 11 月份，容易被黑客玩“貍貓換太子”的固件漏洞還是沒(méi)能解決，截獲音頻與視頻流的 Bug 也還在。

因此，如果你正在使用或準(zhǔn)備購(gòu)入 D-Link DCS-2132L 攝像頭，別忘了先檢查接口 80 是否已經(jīng)暴露在公共互聯(lián)網(wǎng)上。同時(shí)，如果你要用攝像頭監(jiān)控高度敏感區(qū)域，遠(yuǎn)程接入功能還是不用為好。

Via. We Live Security

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。