長久以來,勒索軟體(Ransomware)一直是個人電腦十分氾濫常見的惡意攻擊,最耳熟能詳的攻擊手法就是,入侵電腦的駭客會將電腦某顆硬碟或重要資料夾加密,使用者唯有支付贖金才能正常解開硬碟與資料以存取重要檔案。如今這類惡意攻擊的魔掌開始伸向單眼數位相機(DSLR),開始打起加密劫持並勒索人們心愛照片的主意。
「任何『智慧型』裝置,包括 DSLR 在內,都有易受駭客攻擊的風險,」以色列網路安全公司 Check Point Software Technologies 安全研究人員 Eyal Itkin 於 11 日表示,經過實測,最新型號的 Canon EOS 80D DSLR 連接 USB 和 Wi-Fi 時,會有招致勒索軟體或其他惡意軟體攻擊的風險。
但這次研究人員實測勒索軟體攻擊的重點不在 USB,而是確認了目前數位相機普遍採用的圖片傳輸協定( Picture Transfer Protocol,PTP)有漏洞,這使安全研究人員經由惡意 Wi-Fi 連接,成功運用勒索軟體感染 Canon EOS 80D DSLR。
其實數位相機早有被駭客入侵劫持的紀錄,方式就是 USB 連接。事實上,任何透過 USB 與電腦相連的裝置,包括數位相機、USB 隨身碟、讀卡機、智慧手機等,都有被惡意攻擊的可能性,這也是為何許多公司(尤其高科技半導體大廠)嚴禁使用 USB 裝置。
支援 PTP 相機都有遭攻擊可能Check Point 安全研究人員 Eyal Itkin 在 11 日拉斯維加斯舉行的 DEF CON 駭客大會受注目的展示重點,就是突顯當前廣泛使用在各大相機的 PTP 傳輸協定,可被駭客發動勒索軟體攻擊的漏洞。換言之,除了展示的 Canon EOS 80D DSLR,所有支援 PTP 協定的數位相機都有可能進行空中下載(On the Air,OTA)時被攻擊勒索。
Canon 相機執行 PTP 協定時發現的 6 個漏洞中,一些漏洞還為各種攻擊提供如何入侵的選項。攻擊的最後階段是完全接管裝置,並允許駭客在數位相機部署任何惡意軟體。在支援無線連接的裝置,可藉由惡意 Wi-Fi 存取點(AP)劫持。再不然,駭客也可透過與數位機相連的電腦攻擊相機。
越過重重關卡成功獲得非加密形式的韌體之後,Itkin 得以分析 PTP 如何在 Canon 相機實作。他們掃描所有 148 個受支援的命令,並將列表縮小到 38 個會接收輸入緩衝區的命令。
以下列出幾個漏洞百出的命令及唯一數字操作碼(Numeric Opcode)。不過,並非所有命令都是未經授權惡意存取相機時所需。
- CVE-2019-5994 – SendObjectInfo 命令緩衝區溢位(opcode 0x100C)
- CVE-2019-5998 – NotifyBtStatus 命令緩衝區溢位(opcode 0x91F9)
- CVE-2019-5999 – BLERequest 命令緩衝區溢位(opcode 0x914C)
- CVE-2019-6000 – SendHostInfo 命令緩衝區溢位(opcode0x91E4)
- CVE-2019-6001 – SetAdapterBatteryReport 命令緩衝區溢位(opcode 0x91FD)
- CVE-2019-5995 – 惡意韌體背景預設更新
目前 Canon 已釋出更新版韌體最突破性的是,他發現完全不需與使用者進行任何互動,就能允許遠端韌體更新的 PTP 命令。透過逆向工程,他破解了驗證韌體合法性並用來加密韌體的金鑰。以這種方式構建的惡意更新將擁有正確的簽章,且數位相機會認為它是合法的,因為它通過了驗證。
Itkin 的努力得到回報,不僅能利用 USB 和 Wi-Fi 發動漏洞入侵攻擊,還找到一個能將數位相機記憶卡的檔案加密的方法:使用韌體更新過程採用的相同加密功能。Itkin 在展示最後,成功讓 Canon EOS 80D 相機感染勒索軟體,並在相機螢幕秀出要求使用支付贖金的訊息。
Check Point 是在 3 月 31 日向 Canon 通報這漏洞,並於 5 月 14 日驗證,兩家共同致力修補了漏洞。自 7 月 30 日開始,歐亞兩洲 Canon 客戶已可下載最新 1.03 版韌體更新檔以修補漏洞,至於美國地區也自 8 月 6 日起開始提供相同版本韌體更新服務。
為了避免遭到攻擊,Check Point 安全人員呼籲使用者盡快確認並下載更新最新版韌體,並建議數位相機不使用時務必關閉 Wi-Fi 功能,並盡量避免在公共場合透過公共 Wi-Fi AP 連線處理個人相片。至於 Canon 之外的其他廠牌數位相機使用者,也要密切注意官方是否釋出最新韌體更新訊息,以避免遭攻擊的可能性。 | 
