続報 – デジカメにWiFiやUSBからランサムウェアを感染させる方法（cpr）

Tweet

Pocket

8月6日にCanonのがカメラが攻撃される可能性をプレスリリース、そして先日カメラがランサムウェアによって乗っ取られる実験の動画をご紹介させていただきましたが、この動画はセキュリティ関連の調査やコンサルティングを行っているCheck Point Research社がアップしたものでした。

そして、Check Point Research社のサイトに本件の更に詳しい説明がアップされていましたので読ませて頂いたところ、かなりクリティカルだったことが判りました。

“Cameras. We take them to every important life event, we bring them on our vacations, and we store them in a protective case to keep them safe during transit. Cameras are more than just a tool or toy; we entrust them with our very memories, and so they are very important to us.”
Via ‘ Say Cheese: Ransomware-ing a DSLR Camera – Check Point Research (https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/)



はじめに

• ハッカーが、カメラにランサムウェアを感染させることができるか？ 答えはYesだ。
  • デジタルカメラは、屋根裏部屋で見つかるような歴史上のアンティークフィルムカメラでは無い。
  • 今日のカメラは、USBを使用してコンピューターに接続するデジタルデバイスであり、Wi-Fiもサポートしている。
  • USBとWi-Fiはカメラを周囲の環境に晒すことになる。
• 我々の調査では、遠隔での攻撃者（Wi-Fi）、または既にPC（USB）をハイジャックした攻撃者が、最愛のカメラにマルウェアを感染させる方法を示すことが出来ている。
• 攻撃者が、コンピューターとカメラの両方にランサムウェアを注入して身代金を支払わない限り全ての写真を人質にした場合どのような事態になるのかを想像してみてほしい。

Picture Transfer Protocol (PTP)について

• International Imaging Industry Associationは、カメラのデジタル画像をコンピューターに転送するための標準化されたプロトコル、Picture Transfer Protocol（PTP）を考案した。
• 当初は画像転送に特化していたが、その後、ライブ画像撮影、カメラのファームウェアのアップグレードまでをサポートするさまざまなコマンドを含めるに至った。
• ほとんどのユーザーはUSBケーブルを使用してカメラをPCに接続していたが、最近のモデルはWiFiをサポートするようになった。
• これは、かつてUSB接続デバイスにのみアクセス可能であったPTP / USBプロトコルが、近接するすべてのWiFi対応デバイスからアクセス可能なPTP / IPでもあることを意味する。

「IPを介したパパラッチ」

• ダニエル メンデ氏（ERNW）は「IPを介したパパラッチ」（HITB 2013）という講演で、当時キヤノンのEOSカメラがサポートしていた各ネットワークプロトコルで起こりうる様々なネットワーク攻撃をデモンストレーションした。
• ダニエル氏は講演の最後にPTP / IPネットワークプロトコルについて議論し、攻撃者がネットワークから特定のGUIDを盗聴することでカメラと通信できることを示した。
• これはコンピューターとカメラとペアリングされたときに生成されるGUIDである。
• PTPプロトコルはさまざまなコマンドを提供しているが、それらはいずれも認証または暗号化されていないため、カメラを操作する為のプロトコルの機能を使用（誤った使用例）した方法を示した。

実証実験について

• 我々は、更にそのプロトコルの使用方法を拡張し、攻撃者をシミュレートし、プロトコルの実装の脆弱性を見つけ、それらを活用することでカメラを乗っ取ることを試した。
• リモートコード実行（RCE）のシナリオによって、攻撃者はカメラで何でもできるようになる。
  • ランサムウェアの感染は多くのオプションの1つに過ぎない。
• 攻撃者の観点からすると、PTPレイヤーは大きな標的となりうる。
  • PTPは、さまざまな複雑なコマンドをサポートする非認証プロトコルである。
  • PTPの脆弱性は、USB経由でもWiFi経由でも同様に利用できる。
  • WiFiがサポートされたことで、近接した攻撃者がカメラにアクセスしやすくなる。
• このブログでは、PTPに焦点を当て、攻撃者の2つの潜在的な手段を説明する。
  1. USB – PCを乗っ取った攻撃者が、カメラに侵入した場合。
  2. WiFi – 攻撃者が観光スポットに不正なWiFiアクセスポイントを配置して、カメラに感染させることができる。
• それらが成功した場合、あなたの愛するカメラと写真ファイルを解放するために身代金を支払わなければならない可能性がある。

実証ターゲットの紹介 – Cano EOS 80D を使う理由

• Canonは最大のカメラメーカーであり、市場の50％以上を獲得している。
• EOS 80Dは、USBとWiFiの両方をサポートしている。
• Canonには、Magic Lantern（ML）と呼ばれる大きな規模の「改造」コミュニティがある。
  • MLコミュニティはすでにファームウェアの一部を研究し、そのAPIのいくつかを文書化した。
• 攻撃者は利益を最大化するために、最小限の労力（コスト）で最大の影響（利益）を得ようと努力する。
  • Canonのカメラはユーザーに対して最も大きな影響を与え、MLコミュニティによるドキュメントのおかげで、開始するのが最も簡単である。

実証した内容

• MLのフォーラムやWikiから、MLがポータブルROMダンプなるものを開発していることを発見した。
  • これでカメラのメモリの内容をSDカードにダンプ出来るものである。
• これで得たファームウェアのダンプファイルを、逆アセンブラー（IDA Pro）にロードしカメラの脆弱性を探した。
• PTPレイヤーを見つけるのは非常に簡単で、そこから150の独自コマンドがあることを確認出来た。
• すぐに入力バッファを制御する38のコマンドを絞り込むことが出来、そこから簡単に脆弱性を発見することが出来た。
• このカメラはBluetoothをサポートしていないが、Bluetooth関連のコマンドにアクセス出来ることも発見した。またバッファオーバーフローが見つかった。
  • Bluetoothコマンドは他のコマンドよりも脆弱であるように見える。
  • これは、経験の少ない開発チームであることを示唆している可能性がある。
• 我々のPCをUSB経由で接続し、PythonのPTPライブラリにあるptpyによって簡単にアクセスすることが出来た。
• PoC（単純化した実証）によって脆弱性を試すトリガーを実行したところカメラはErr70のメッセージを出し簡単にクラッシュした。（オーバーフローさせた）
• ファームウエアにあるErr 70をトリガーするコードアドレスを発見し、そこから独自のアッセンブリーを実行することが可能になった。
• カメラのさまざまな設定を試したところ、USBが接続されている間はWiFiを使用できないことがわかった。
  • これは、おそらく両方がPTPレイヤーによって使用されることを示している。
  • よってUSBからWiFiにも適用出来ると判断した。
• Wi-Fi経由でのテストでもカメラをクラッシュさせることが出来るようになった。
• USBとWi-Fiの両方でカメラをハイジャックすることが出来るようになった。
• ランサムウェアに必要な暗号化処理は、カメラ自体がファームウェアの更新に使うAES機能と暗号化キーが使えることが判明した。
  • 更に、これらの脆弱性を全て取り除いたとしてもリモートファームウェア更新用のPTPコマンドによって、悪意のあるランサムウェアをファーム更新プログラムを利用してカメラに感染させる可能性も判明した。
• ランサムウェアは、ファームウェアの更新処理と同じ暗号化機能を使用することでAES機能を呼び出す。
  • 結果SDカード上のすべてのファイルを暗号化した後、ランサムウェアはユーザーにランサムメッセージを表示することが出来た。

それがこちらの動画

攻撃をチェーン化するには

• 攻撃者がまず不正なWiFiアクセスポイントを設定する必要がある。
  • これは、カメラが自動的に接続しようとする名前と同じ名前を持つようにAPを偽装することで簡単に実現できる。
• 攻撃者がカメラと同じLAN内にいると、攻撃を開始できる。

情報開示タイムライン

• 2019年3月31日 – 脆弱性がCanonに報告された。
• 2019年5月14日 – キヤノンはすべての脆弱性を確認した。
  • これ以降、両当事者は協力して脆弱性を修正した。
• 2019年7月8日–キヤノンのパッチを検証および承認した。
• 2019年8月6日–キヤノンは公式のセキュリティアドバイザリの一部としてパッチを公開。セキュリティ勧告を行った。

まとめ

• Canonが実装したPicture Transfer Protocolに複数の重大な脆弱性が見つかったが、そのプロトコルは標準化されており、他のカメラに組み込まれている。
  • 同様の脆弱性は他のベンダーのPTP実装にも見られると考えている。
• 我々の調査では、「スマート」なデバイス（この場合はDSLRカメラ）は攻撃を受けやすいことが示されている。
  • 価格、デリケートなコンテンツ、幅広い消費者層の組み合わせにより、カメラは攻撃者にとって有利な標的になりうる。

このCheck Point Research社の報告が正しいとすれば、Canonが警告したPTPのセキュリティ問題を発見した過程が書かれているということですね。

それにしても、PTPは暗号化していない、Bluetoothは更に危険、経験の浅い開発が行われている、、、、ということに驚きました。

そのPTPはWi-fi経由でも通信出来るということは重要で、USBの場合PCのセキュリティを確保していれば危険性は少なかったのですが、WiFiによって容易に外部から攻撃される可能性を示しています。

これをググってみたところ、このPTPをWi-Fiに拡張する技術を開発したのはNikonということでした、、、、、、、

“ニコンは、デジタルカメラ内の画像を無線LAN経由でPCに転送する技術を開発した。同社が9月13日に明らかにしたもの。USB接続用のプロトコルPTPを拡張し、無線LAN接続を可能とするプロトコル、Picture Transfer Protocol over Internet Protocol（PTP／IP）を使う。”
Via ‘ ニコン、デジカメとPCを無線LAN接続して画像転送する技術を開発 – CNET Japan (https://japan.cnet.com/article/20073363/)

Canonは業界のリーダーとして、この脆弱性を対策することになったようですが、PTPを使っている他社も調査して頂いて報告して頂ければより安心出来ると思いますが、それよりもユーザーの意識が重要だと思います。

カメラが便利になった代償だとも思いますが。。。。

図解まるわかり セキュリティのしくみ

増井 敏克

1,848円(11/22 17:54時点)

Amazon楽天市場Yahoo

Amazonの情報を掲載しています

決定版 サイバーセキュリティ: 新たな脅威と防衛策

Blue Planet‐works

1,920円(11/22 17:54時点)

Amazon楽天市場Yahoo

Amazonの情報を掲載しています

サイバーセキュリティ (岩波新書)

谷脇 康彦

821円(11/22 17:54時点)

Amazon楽天市場Yahoo

Amazonの情報を掲載しています

サイバーセキュリティプログラミング ―Pythonで学ぶハッカーの思考

Justin Seitz

2,050円(11/22 17:54時点)

Amazon楽天市場Yahoo

Amazonの情報を掲載しています

Tweet

Pocket

KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G

只今、カスタマーの評価を取得しています。

￥1,280 (2024年11月22日 17:34 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

UHS-I、UHSスピードクラス1、SDスピードクラス10 最大読出速度:100MB/s 耐温度変化、耐X線、耐静電気、耐衝撃、防水、ヒューズ搭載 Nintendo Switch動作確認済 保証期間：製品お買い上げ日より5年間

KIOXIA(キオクシア) 旧東芝メモリ SDカード 128GB SDXC UHS-I Class10 読出速度100MB/s 日本製 国内正規品 メーカー保証5年 KLNEA128G

只今、カスタマーの評価を取得しています。

￥1,380 (2024年11月22日 17:34 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

UHS-I、UHSスピードクラス1、SDスピードクラス10 読出速度:100MB/s 動作温度-25℃~85℃、耐X線、耐静電気、ヒューズ搭載 日本製(Made in Japan) 保証期間:製品お買い上げ日より5年間

SanDisk (サンディスク) 128GB Extreme PRO SDXC UHS-I メモリーカード - C10、U3、V30、4K UHD、SDカードDigital Cameras - SDSDXXD-128G-GN4IN

只今、カスタマーの評価を取得しています。

￥2,858 (2024年11月22日 17:34 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

4K UHDビデオの撮影や、シーケンシャルバーストモード撮影 (フルHD (1920x1080) および4K UHD (3840 x 2160) のビデオサポートは、ホストデバイス、ファイル属性などの要因によって異なる場合があります。 SanDiskサイトのHDページをご覧ください。) SanDisk Professional PRO-READER SDとmicroSDと組み合わせて、最大速度を実現します (別売り) SanDisk QuickFlow Technologyにより最大200MB/... もっと読む

バッファロー SDカード 128GB 100MB/s UHS-1 スピードクラス1 VideoSpeedClass10 IPX7 Full HD データ復旧サービス対応 RSDC-128U11HA/N

只今、カスタマーの評価を取得しています。

￥1,980 (2024年11月22日 17:34 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

【対応機種(128GB/64GB)】SDXC対応SDメモリーカードスロット搭載機器 USBポート搭載パソコン(SDXC対応USBカードリーダ/ライタを使用) 【最大転送速度】100MB/秒 【動作環境】防水(IPX7) 耐温度(-25℃~+85℃) 耐衝撃 耐振動 耐X線 【フルHD動画の長時間録画に】UHSスピードクラス1 Video Speed Class 10に対応。フルHD動画の長時間録画に最適 【保証年数】購入から1年間の保証つき 【著作権保護機能】CPRM技術を採用した著作権保護機能... もっと読む

【 サンディスク 正規品 】 SanDisk microSD カード 128GB UHS-I U1 Class10 Nintendo Switch メーカー動作確認済 Ultra SDSQUAB-128G-GH3MA 簡易デザインパッケージ 10年間限定保証

只今、カスタマーの評価を取得しています。

6% オフ ￥2,000 ￥1,872 (2024年11月22日 17:34 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

Androidスマホやタブレット、オーディオプレーヤー、任天堂Switch、Chromebookに最適 Nintendo Switch / Switch Light 動作確認済み（サンディスク社内テストに基づきます。任天堂株式会社はこの製品動作を保証しておらず動作確認の支援は行っておりません。 A1規格のパフォーマンスで素早くアプリを起動 フルHDビデオの録画や視聴に最適 SDサイズへの変換アダプタ―付属。収納プラスチックケース入り。