智能摄像头安全分析及案例参考(2)

使用暴力破解工具john the ripper可轻易破解该密码。

风险分析：

• 可根据passwd文档破解默认的摄像头root密码，通过该默认密码可直接登录暴露在内网中或互联网上的摄像头设备;
• 可根据系统内的文件逆向密码加密算法，破解摄像头和云端的通信数据。

2. 加密算法可被逆向

通过对手机端APK的分析，发现虽然有的版本使用了加密和混淆，但通过解密和反编译后，大部分APK可直接被逆向出源程序。

使用JD可将smali反编译为java源码，更为直观的查看程序代码。

随后将lib目录下的so文件进行了逆向分析。

根据关键字定位到密码加密算法几个相关的函数。

由于逆向能力比较一般，于是又结合了上一节摄像头固件解包出的/progs/bin目录下的sctrl文件进行逆向分析。

结合手机端APK和摄像头固件中的文件反编译分析，推导出了用户密码加密逻辑。用户密码使用了MD5(unix)+SALT的方式进行加密，SALT使用了函数生成，但生成算法非常简单。

根据加密算法编写的解密算法如下：

使用该算法对密码123456进行加密：

该密文和用户在手机端APK登录时的加密后的密码完全一致。

这也证明了通过逆向加密算法而推导出的解密算法是正确的。

风险分析：

• APK未进行混淆、加壳或使用了较简单的加壳保护，很容易导致APK被反编译、重打包等;
• 较弱的salt生成算法可通过反编译还原出来解密算法，进而使用程序模拟用户登录。

3. 用户密码可被批量破解

在用户使用手机端登录时，对数据进行抓包分析。

多次抓包分析后，可得到几个关键TCP数据包。

根据前面逆向编写出的解密算法，使用socket进行数据发包测试：

可以模拟APK进行用户登录，并能进行其他操作。如获取设备列表、添加设备、修改设备密码等。

分析发现，在用户密码正确和错误时，返回信息时不同的。

根据这种不同，可以设计字典对用户和密码进行破解。编写程序使用手机号字典进行用户枚举测试，简单测试后发现150多个手机号使用了123456做为手机端登录密码。

编写程序对手机云端ID号进行简单的枚举测试，经过十分钟测试便发现了在线且使用默认设备密码的手机云端ID号码有二三百个。

风险分析：

• 云端对APK发送的数据没有更多的校验，导致可编写程序批量破解用户名和密码，导致用户身份失窃。
• 通过通信数据的分析，可有针对性的编写程序进行批量添加设备，进行批量的破解设备密码。
• 理论上讲，使用该方法可遍历所有的用户、密码和手机端设备。

4. 互联网设备可被探测发现

（编辑：ASP站长网）