Hardware und Firmware im Fokus:
Sicherheitsanalyse einer Heimüberwachungskamera (1/3)
Im Zuge eines internen Research Projektes im Bereich Hardware Security, wurde eine internetbasierte Webcam untersucht.
Die Kamera wird als Überwachungslösung für den Innenbereich beworben – unter anderem zur Sicherheitsüberwachung zu Hause, zur Beobachtung von Babys und älteren Menschen, sowie als Haustierkamera. Sie verfügt über eine Bewegungserkennung, die Personen und Tiere identifiziert und bei Ereignissen sofort eine Benachrichtigung an die Smartphone-App sendet. Zur Speicherung unterstützt die Kamera sowohl lokale Aufnahmen auf einer SD-Karte als auch einen optionalen Cloud-Speicher mit 7-tägiger Wiedergabefunktion (der Cloud-Dienst erfordert ein kostenpflichtiges Abonnement).
Analyse der Hardware
Im ersten Schritt widmen wir uns der Identifikation der verbauten Hardwarekomponenten. Besonders im Fokus stehen dabei Speicherbausteine wie ROM oder Flash, der eingesetzte Mikrocontroller, Kommunikationsmodule (z. B. Bluetooth oder WLAN) sowie mögliche Debugging-Schnittstellen wie UART oder JTAG.
Nach dem Öffnen des Kameragehäuses lassen sich diese Komponenten visuell erfassen und näher untersuchen. Für unsere Analyse sind insbesondere folgende Bauteile von Interesse:
- WLAN-Modul (AIC8800D40L)
- SD-Karten-Slot (zur offline-Speicherung aufgezeichneter Videos und Bilder)
- Ein unbekannter Mikrocontroller
- 3-Pin-Header (vermutlich UART-Schnittstelle)
Serieller Flash-Speicher
Auf der Platinenunterseite befindet sich ein Baustein mit der Bezeichnung FM25Q128A. Eine Suche nach dieser ID liefert ein Datasheet, wodurch bestätigt werden kann, dass es sich dabei um einen Serial Flash-Speicher handelt.
Ein solcher Speicher enthält üblicherweise die Firmware des Geräts – also die Betriebssoftware, die zum Laden des Kernels sowie zur Kommunikation mit der Geräteperipherie erforderlich ist. Die Firmware ist ein lohnendes Ziel für Angreifer, da Schwachstellen in diesem Bereich zu einer dauerhaften Kompromittierung des Gerätes führen können.
Firmware Dumping
Um die Firmware aus dem Chip auszulesen, kann z. B. ein sogenannter In-Circuit Programmer (ICP) genutzt werden. Der Vorteil eines solchen Geräts ist, dass der Speicherchip nicht von der Platine entlötet werden muss. Stattdessen erfolgt die Interaktion über Schnittstellen wie JTAG, SWD oder SPI.
Über die GUI des XGecu-Tools kann die ID des Speicherchips überprüft werden, bevor die Firmware aus dem Baustein extrahiert wird. Eine Verifizierung des Dumps stellt sicher, dass der Auslesevorgang fehlerfrei durchgeführt wurde.
Zum Auslesen wurde der XGecu T48 Programmer in Kombination mit einem SOIC-Clip verwendet.
Analyse der Firmware
Zur Analyse des extrahierten Firmware-Dumps kann binwalk eingesetzt werden. Binwalk analysiert den Dump und sucht nach Dateisystemen, Images und Dateien.
Der Firmware Dump enthält:
- U-Boot-Binärdatei
- Kernel-Image
- SquashFS- und JFFS2-Dateisysteme
U-Boot ist ein häufiger Bootloader im IoT-Umfeld. Gelingt ein Zugriff auf eine serielle Schnittstelle wie UART, kann der Bootprozess manipuliert werden.
In der entpackten Firmware kann gezielt nach sensiblen Dateien gesucht werden. Der Passwort-Hash des Root-Benutzers befindet sich im ersten SquashFS-Dateisystem (Offset 0x230000). Der veraltete Algorithmus md5crypt wurde verwendet. Das Passwort konnte trotz Brute-Force nicht geknackt werden – es weist also mindestens acht Zeichen und ausreichende Komplexität auf.
Ausblick
In einem weiteren Beitrag zeigen wir, welche Informationen sich aus dem Dateisystem auslesen lassen, um letztlich Root-Rechte auf dem laufenden System zu erlangen.
Autor
Jan Rude ist seit zehn Jahren als Penetrationstester tätig. Bereits während seines Studiums der Technischen Informatik hatte er Kontakt mit Hardware und IT-Sicherheit – Themen, die ihn seither begleiten. Seit 2018 ist er bei mgm tätig und verantwortet dort unter anderem die Durchführung von Infrastruktur und IoT-Pentests.