近些年來各家廠商把“智能”攝像頭市場做的是風(fēng)生水起，許多消費(fèi)者也想靠這些大眼睛來守護(hù)一方平安。對普通人來說，這些智能化的攝像頭確實相當(dāng)方便，只需連上網(wǎng)絡(luò)，你就能在千里之外獲取自己需要的畫面。不過，在你享受方便之余又很容易掉入陷阱，因為安全漏洞背后藏著的壞人太可怕了。

最近，ESET 智能家居的研究就顯示，D-Link 的 DCS-2132L 云攝像頭已然中招，攻擊者不但能借助安全漏洞截獲并“欣賞”你的監(jiān)控視頻，還能操縱設(shè)備固件。

對用戶來說，這款 D-Link 攝像頭最嚴(yán)重的問題就是其未加密的視頻流傳輸。攝像頭與云端以及云端和客戶端之間完全不設(shè)防的設(shè)計為“中間人”（MitM）發(fā)動攻擊提供了肥沃的土壤，入侵者想調(diào)取視頻流簡直易如反掌。

ESET 的研究顯示，客戶端與攝像頭是通過接口 2048 上的代理服務(wù)器進(jìn)行通信的，使用了 D-Link 自有的信道協(xié)議（TCP 信道）。不幸的是，通過這些信道的數(shù)據(jù)流只有一部分得到了加密，而大部分敏感內(nèi)容（比如攝像頭 IP、MAC 地址、版本信息、視頻與音頻流請求等）都完全不設(shè)防。

追根溯源上去，這一切問題的根源都是 request.c 文件中的一個條件（D-Link自定義開源 boa Web服務(wù)器源代碼的一部分），它負(fù)責(zé)處理對攝像頭的 HTTP 請求。由于來自 127.0.0.1 的所有 HTTP 請求都被提升到管理員級別，因此潛在攻擊者拿到了對設(shè)備的完全訪問權(quán)限。

截獲視頻與音頻流

黑客發(fā)動中間人攻擊后，就能利用服務(wù)器上 TCP 連接的數(shù)據(jù)流截獲 HTTP 請求（視頻與音頻數(shù)據(jù)包）。對其進(jìn)行重構(gòu)與重播后，攻擊者就能在任何時間獲取攝像頭攝錄的音頻或視頻流，而且是 M-JPEG 與 H.264 雙格式的。

當(dāng)然，重構(gòu)視頻流也沒那么容易，攻擊者還得一步一步來（這個過程也可以借助簡單的程序或腳本實現(xiàn)自動化）：

1. 識別出哪些流量代表了視頻流，因為這里的流量由多個數(shù)據(jù)塊組成，每個數(shù)據(jù)塊都有特定的標(biāo)題和定義的長度；

2. 將數(shù)據(jù)部分與標(biāo)題分離開來；

3. 最后，將其中的視頻合成一個文件。

需要注意的是，播放這個視頻文檔可能有點麻煩，因為它們還是 RAW 格式。不過，許多播放器（比如 MPlayer）只需一個插件就能吃掉這些文檔。

有缺陷的插件

這還沒完，“mydlink services”（網(wǎng)絡(luò)瀏覽器插件）中也有重大發(fā)現(xiàn)。

這款網(wǎng)絡(luò)瀏覽器插件不但“控制”著客戶端瀏覽器中 TCP 信道和實時視頻播放的創(chuàng)建，還負(fù)責(zé)通過信道轉(zhuǎn)發(fā)對視頻和音頻數(shù)據(jù)流的請求，同時偵聽著本地服務(wù)器上動態(tài)生成的端口。

由于該信道可用于整個操作系統(tǒng)，因此用戶計算機(jī)上的任何應(yīng)用或用戶都能通過簡單的請求輕松接入攝像頭的網(wǎng)頁界面。整個過程連授權(quán)都不需要，因為從攝像頭網(wǎng)絡(luò)服務(wù)器發(fā)出的 HTTP 請求在從本地服務(wù) IP 訪問時會自動升級到管理員級別。

這個漏洞還給攻擊者行了方便，只要他們愿意，就能替換掉 D-Link 攝像頭的固件，更加為所欲為。

“貍貓換太子”

最新消息顯示，D-Link 已經(jīng)成功修復(fù)了“mydlink services”插件。

不過，只要黑客愿意，他們還是能通過 D-Link 的信道協(xié)議替換用戶固件。完成“貍貓換太子”的操作，攻擊者只需修改信道中的流量即可（用特殊的 POST 請求替換視頻流 GET 請求）。

當(dāng)然，普通黑客肯定玩不轉(zhuǎn)這一步，因為全程你都得遵守信道協(xié)議，將固件植入不同的區(qū)塊。不過，成功之后就簡單多了。那些自制固件能開后門、監(jiān)控軟件、植入木馬，甚至可以讓受害者的智能攝像頭幫忙挖礦。由于無需授權(quán)，攻擊者甚至能直接讓你的設(shè)備變磚。

插件雖然修好了，但屁股還是沒擦干凈

去年 8 月底，ESET 就將相關(guān)情況反映給了 D-Link。后者反應(yīng)也相當(dāng)及時，承諾會盡快跟進(jìn)并完成修復(fù)。后續(xù)測試發(fā)現(xiàn)，D-Link 確實解決了一部分漏洞問題，“mydlink services”插件也是絕對安全，但有些問題依舊存在。

截至發(fā)稿前，最新版本固件的更新日期依然停留在 2016 年 11 月份，容易被黑客玩“貍貓換太子”的固件漏洞還是沒能解決，截獲音頻與視頻流的 Bug 也還在。

因此，如果你正在使用或準(zhǔn)備購入 D-Link DCS-2132L 攝像頭，別忘了先檢查接口 80 是否已經(jīng)暴露在公共互聯(lián)網(wǎng)上。同時，如果你要用攝像頭監(jiān)控高度敏感區(qū)域，遠(yuǎn)程接入功能還是不用為好。

Via. We Live Security

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。