海康威視螢石A1互聯(lián)網(wǎng)報警盒子破解細(xì)節(jié)分析
螢石是?���?低暺煜掳踩顦I(yè)務(wù)品牌,為家庭和小微企業(yè)用戶提供可視化安全為基礎(chǔ)的關(guān)愛����、溝通、分享服務(wù)����。螢石業(yè)務(wù)涵蓋螢石云視頻APP、螢石云視頻服務(wù)平臺����、系列互聯(lián)網(wǎng)產(chǎn)品(攝像機(jī)����、硬盤錄像機(jī)����、視頻盒子、報警盒子����、云存儲)等。
攻擊點(diǎn)分析:
螢石A1互聯(lián)網(wǎng)報警盒子使用“全無線解決方案”,傳感器的報警通過433.92MHz射頻信號發(fā)送給報警主機(jī),報警主機(jī)可以通過Wi-Fi聯(lián)網(wǎng),將報警上傳螢石云端,云端會將信息推送到手機(jī)端的“螢石云視頻”APP向用戶報警����。
433MHz是使用非常普遍的ISM免執(zhí)照頻段,尤其在智能家居領(lǐng)域,其穿透和繞射能力強(qiáng),傳輸距離遠(yuǎn),但不同于Wi-Fi和zigbee具有加密功能,433MHz通常采用明文傳輸,其安全性較差,因而作為我們優(yōu)先考慮的攻擊點(diǎn)。
漏洞描述:
攻擊者利用數(shù)字射頻處理技術(shù)和軟件無線電工具,重放所有報警傳感器原始射頻信號,并繞過系統(tǒng)防重放機(jī)制,造成可以推送到用戶手機(jī)端的假報警信息����。
漏洞詳情:
抓取了報警傳感器在433.92MHz的所有原始射頻信號,包括門磁(開,關(guān))、紅外����、煙感、遙控器(緊急呼救����、在家模式、外出模式����、睡眠模式、靜音),并對信號格式進(jìn)行了分析����。
1. 每次報警會連續(xù)發(fā)送五次射頻信號(煙霧報警為十次),且五次的內(nèi)容相同。
2. 單次射頻信號包含兩個數(shù)據(jù)包����。
3. 可以明顯看出信號使用ASK調(diào)制,解調(diào)后可得數(shù)據(jù)包二進(jìn)制內(nèi)容。
4. 對信號二進(jìn)制作進(jìn)一步分析:第一個數(shù)據(jù)包內(nèi)容不變,固定為兩種(門磁����、遙控器為一種,煙感、紅外為一種)����。第二個數(shù)據(jù)包應(yīng)包含傳感器序列號和種類等信息,其中序列號位于數(shù)據(jù)包開頭位置。
對于同一個傳感器所發(fā)出的同一種報警信號,在不同時刻記錄的第二個數(shù)據(jù)包部分不同(如下圖),因此推測其包含滾動碼,而相同的部分為其序列號位置����。
5. 滾動碼在原理上可以放重放,但實(shí)驗發(fā)現(xiàn)重放攻擊仍然有效,因為主機(jī)只對信號作單次校驗,即與上一次收到的有效信號作比較以防重放����。但這種機(jī)制對于該產(chǎn)品是十分無效的,因為即使主機(jī)不報警,傳感器也會經(jīng)常性地發(fā)射射頻信號,如門磁和紅外,因為重放的信號和主機(jī)收到的上一次有效信號一樣的概率極低����。另外也可以簡單地通過重放兩段不同的有效信號以繞過該機(jī)制。
漏洞利用:
1. 利用該漏洞可以重放傳感器信號實(shí)現(xiàn)假報警,使用戶經(jīng)歷不必要的慌亂,進(jìn)行多次重放攻擊可以使用戶不堪其擾,從而喪失對產(chǎn)品的信任,放棄使用該產(chǎn)品����。在用戶不知情的情況下可能會對品牌產(chǎn)生不良影響。
2. 對于竊賊也可以使用無線電進(jìn)行入室盜竊,方法是重放遙控器信號使主機(jī)切換回在家模式,這樣即使被門磁和紅外探測到了主機(jī)也不會報警����。另一種簡單粗暴的方法就是直接進(jìn)行無線電干擾,使所有傳感器失效,實(shí)驗并未發(fā)現(xiàn)主機(jī)對大功率無線電干擾有任何檢測和報警。
本文由 360安全播報 原創(chuàng)發(fā)布����,如需轉(zhuǎn)載請注明來源及本文地址。
本文地址:http://www.hackdig.com/09/hack-25808.htm
