Agora hackeando e câmera Canon EOS-1DX

Imagine ser jornalista depois de uma conferência de imprensa. Você está tentando carregar remotamente as fotos que acabou de tirar com sua câmera de ponta do seu hotel ou de um café com conexão Wi-Fi.

Tudo está bem até agora, mas os hackers podem se esconder. Eles podem roubar suas fotos, fazer upload delas para a câmera ou podem usar o dispositivo para rastrear alguém.

Não é um filme de James Bond, não é um roteiro de ficção científica. Segundo Daniel Mende, este é um cenário muito provável.

Em uma apresentação no Hack in the Box 2013, em uma conferência de segurança em Amsterdã, um especialista provou que existem pontos fracos no design das câmeras. Canon EOS-1DXe, possivelmente, outros modelos ou de outros fornecedores, que podem ser usados ​​para uma ampla variedade de ataques.

canon-eos-1dx

Câmeras de última geração, como a Canon EOS-1DX, permitem que os usuários transfiram facilmente as fotos tiradas para a Web por meio de uma porta Ethernet integrada ou por meio do Wireless File Transmitter (WFT).

Segundo Mende, a maioria dos jornalistas dos principais meios de comunicação, como a Reuters, atualmente usa a Canon EOS-1DX, o que significa que existem muitos alvos possíveis.

Como os ataques funcionam?

A Canon EOS-1DX tem quatro maneiras de conectar-se à Web: você pode fazer upload de arquivos com FTP ou DLNA (Digital Living Network Alliance), possui um servidor da web embutido e o utilitário EOS. Mende conseguiu descobrir uma maneira de invadir cada um deles.

Por exemplo, a função FTP Upload pode ser usada para carregar fotos em um servidor configurado na câmera.

No entanto, como os dados não são criptografados, eles podem ser facilmente detectados. Isso inclui fotos carregadas ou até certificações FTP, pois são transmitidas em texto sem formatação.

Para a operação DLNA, o UPnP é usado para encontrar HTTP e XML a serem usados ​​para acessar a mídia. O problema é que não há sistema de autenticação e não há restrições; portanto, qualquer usuário com um cliente DLNA pode fazer o download das fotos.

O modo de servidor WFT, ou servidor da web incorporado, permite que os usuários visualizem e baixem fotos remotamente pelo navegador. O ponto é que a segurança ainda está atrasada e as credenciais podem ser facilmente extraídas.

Os cookies de sessão usados ​​no WFT são executados 20 minutos após o final da sessão.

O EOS Utility, por outro lado, pode ser usado para coisas ainda mais interessantes. Mende descobriu que o EOS Utility – que os usuários instalam em seus computadores para controlar remotamente todas as funções nĂŁo manuais de suas câmeras – pode permitir que um invasor acesse a câmera e a use para transmissĂŁo ao vivo!

Quando o EOS Utility estiver em execução, a câmera deve ser conectada ao software por meio do sistema de nome de domínio multicast (mDNS).

Para esse mĂ©todo de ataque, o invasor tenta “ouvir” o mDNS e desofusar o dispositivo para obter dados de identidade. O invasor deve desconectar o usuário já conectado, pois a câmera permite apenas uma conexĂŁo.

O passo final é conectar-se à câmera via PTP / IP (Picture Transfer Protocol). Feito isso, o dispositivo fica à mercê do intruso.

A apresentação completa de Daniel Mende, com detalhes técnicos adicionais, está disponível aqui. (PDF)