在一般人的認知中,因為相機的連網功能相對來說沒那麼豐富,所以其並沒有那麼容易成為駭客們攻擊的目標。但實際的情況並非如此,日前 Check Point Software 的研究者們發現,近來開始有駭客瞄準了單眼和無反相機。他們會利用 Wi-Fi 向相機植入惡意軟體,然後以給照片加密的形式對用戶進行勒索。
具體來說,這一攻擊是以圖片傳輸協議(Picture Transfer Protocol)無驗證同時又支援有線及無線的特性來做為實現基礎。而 CPS 發現這一問題的過程也讓人有點哭笑不得,他們恰恰是在 Magic Lantern 製作的 Canon EOS 80D 功能加強版韌體裡找到漏洞的。從下面這段影片中,你可以看到研究者先設定了一個有問題的 Wi-Fi 接入點。然後當其進入相機的連線範圍後,研究者就可以發起攻擊,進入 SD 卡將影像檔案加密。在此之後,相機上就只能看到勒索的資訊,不付「贖金」就別想再看到照片了。
[Youtube]75fVog7MKgg[/Youtube]
CPS 認為對心懷不軌的駭客來說,相機其實是十分合適的攻擊對象。因為它裡面往往存有對用戶極具價值的影像內容,這就讓攻擊變得非常有利可圖。早在三月的時候,CPS 就將這一問題回報給了 Canon(涉及最多的就是來自 Canon 的機種,但其它使用相同協議的相機也有風險),而在上週 Canon 也終於發佈了安全補丁程式,並且提醒使用者要避開不安全的 Wi-Fi,以及在不必要時儘量關掉相機的網路。
Check Point Research |
