Думофон. Как я реверсил домофон, нашел возможность прослушки и поставил на него Doom II

Содержание статьи

• Уязвимость
• Митигация
• Запускаем на домофоне Doom II

Не­дав­но я иссле­довал край­не необыч­ный для меня девайс — виде­одо­мофон с сен­сорным экра­ном и Wi-Fi. Я разоб­рал его, изу­чил и нашел… некото­рые уяз­вимос­ти. Я хотел отве­тить на воп­рос «А могут ли меня под­слу­шивать?». Ответ мы сегод­ня най­дем вмес­те.

Я при­вык, что домофон — это такая висящая на сте­не труб­ка, которую надо снять, ког­да зво­нят, а потом нажать кноп­ку с клю­чиком, что­бы открыть дверь. Пару раз я видел вари­ант с малень­ким экра­ном, на котором не вид­но ров­ным сче­том ничего: чер­но‑белая кар­тинка, силь­но зер­нистая, с пло­хо рас­позна­ваемы­ми силу­эта­ми.

Од­нажды в мои руки попал не такой прос­тецкий домофон, а наворо­чен­ный: с боль­шим цвет­ным тачс­кри­ном и под­клю­чени­ем по Wi-Fi. Я хотел узнать, нель­зя ли его исполь­зовать для прос­лушива­ния. Забегая впе­ред ска­жу, что при опре­делен­ных усло­виях впол­не мож­но.

Вот как выг­лядело это чудо.

На обратной сто­роне девай­са — клем­мы для под­клю­чения питания, сиг­нализа­ции, звон­ка и Ethernet-кабеля, который по фак­ту ока­зал­ся разъ­емом PoE (мож­но питать домофон сра­зу от локаль­ной сети). На тор­чащие про­вода обра­щать вни­мание не нуж­но: это уже мои «доработ­ки», о них я рас­ска­жу поз­же.

Вклю­чив аппа­рат, пер­вым делом идем в нас­трой­ки и ищем что‑нибудь на тему Telnet/SSH/FTP, но ничего полез­ного не обна­ружи­ваем. Одна­ко в веб‑интерфей­се наш­лась воз­можность обновлять про­шив­ку, что может при­годить­ся.

Вык­люча­ем домофон и идем в Google — искать обновле­ния. К сожале­нию, самих фай­лов с про­шив­кой для сво­его домофо­на я не накопал, зато наш­лась вен­дор­ская ути­лита, пред­назна­чен­ная для сер­висных инже­неров. Тул­за общая для все­го семей­ства устрой­ств и дол­жна упро­щать нас­трой­ку устрой­ств и рас­катку инфраструк­туры.

Приш­лось при­нять слож­ное волевое решение — разоб­рать девайс. В слу­чае неуда­чи меня жда­ла покуп­ка нового аппа­рата, а они недеше­вые. Так что став­ки высоки!

Су­дя по начин­ке, основная пла­та домофо­на — это фак­тичес­ки кон­трол­лер дис­плея, Wi-Fi и PoE, а отдель­ная плат­ка — не что иное, как съем­ный CPU с опе­ратив­кой и флеш­кой. Похоже, такая реали­зация удоб­на для обслу­жива­ния.

Ря­дом с малень­кой пла­той — стран­ный нерас­паян­ный разъ­ем CN2 (на фото я к нему уже при­паял­ся), на двух выводах которо­го — резис­торы. Вер­ный знак того, что это что‑то важ­ное (нап­ример, UART-кон­соль). Преж­де чем брать­ся за паяль­ник, мож­но изу­чить поб­лиже съем­ную пла­ту, с нее впол­не воз­можно про­читать про­шив­ку.

Прав­да, BGA я тог­да запа­ивать обратно (реболить) не умел, поэто­му скон­цен­три­ровал уси­лия на UART.

Уви­деть при запус­ке лог заг­рузки — это, несом­ненно, кру­то! Но еще кру­че уви­деть стро­ку «Hit any key to stop autoboot». Активно нажима­ем Enter и попада­ем в меню U-Boot. Затем набира­ем коман­ду help и ищем сре­ди дос­тупных команд что‑то для работы с eMMC. Коман­да mmc read впол­не сго­дит­ся. У меня уже был опыт получе­ния дам­па фле­шек через UART, поэто­му я прос­то взял и адап­тировал ста­рый скрипт на Python под вывод коман­ды.

Источник: xakep.ru