欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

逆向破解研究探讨Aura睡眠闹钟

来源:本站整理 作者:佚名 时间:2017-09-20 TAG: 我要投稿

在头几天,我收到了一款名叫Aura的装备。这款装备由Withings计划、临盆和贩卖,依据先容,Aura是一款联网就寝闹钟。然则Aura实在不纯真是一个闹钟,它的外部计划异常棒,它参与了Sporttify音乐流办事,你可以或许抉择民间保举的歌单或依据自己的喜好来抉择就寝和起床音乐。
除此之外,Aura的外部还集成为了各类传感器,并可以或许对用户四周的情况和就寝参数停止检测和阐发。装备的上方有一个LED等,且全部上半部门都支撑触控操纵,是以Aura就能够或许经由过程这套声光体系来仿照日出的亮度变更,并收回动听的音乐来加重人们起床的苦楚。

在懂获得这些信息以后,我盘算对这款装备停止逆向阐发,来由如下:
1.       起首,这肯定会异常风趣,并且这个进程中我还可以或许学到许多新器械。
2.       我想要真正“节制”这台装备,我想让我自己的代码在这台装备上运转。
这篇文章记载了我对Aura停止逆向阐发的完备进程,此中包括固件镜像的获得和长途缓冲区溢出漏洞破绽bug的应用方法。
注:我曾经与厂商取患了接洽,并将本文所要描写的网安成绩告诉了厂商的网安技巧职员。实际上,他们以前就曾经晓患了本文所要先容的部门网安漏洞破绽bug,并且正在尽力修复剩下的成绩。本文不会给人人供给Aura的固件镜像、完备代码文件和剧本,本文所先容的内容纯洁出于教导目标。
首次阐发
起首,我得先懂得更多对付Aura硬件的信息。由于Aura实在实在不廉价(1200元人民币阁下),所要我如今还不想拆开它。以是我盘算先查阅一下网上的地下文档【FCC验证申报】,而后对Aura的硬件情况有一个根本的懂得。
从外部电路板的图片来看,Aura是由一块Freescale处理器驱动的,并且装备运转的是一种嵌入式的Linux操纵体系。

由于Aura不停会坚持联网状况(WiFi),这也是其设置装备摆设所请求的,以是我应用nmap对该装备停止了一次扫描,末了获患了如下扫描成果:

端口22貌似是一个过滤端口,但这里的SSH办事器仍然是可相应的。固然了,假如没有有用的暗码或SSH密钥的话,这台SSH办事器照样没方法失常拜访的。
从蓝牙端来看,Aura是可以或许经由过程蓝牙发明的。它运转了一台SDP办事器,并且会告诉咱们如下办事正在运转当中:

固件获得
为了对Aura停止更深刻的阐发,我必要拿到装备的固件文件。正如以前所说的,我如今可不想拆开它。为此,在固件的更新进程中,我设置了一个MITM署理来嗅探Aura和其办事器之间的网络通信数据。
随后我便发明,该装备彷佛应用了HTTP来下载固件镜像文件:
GET /wsd01/wsd01_905.bin HTTP/1.1
Host: XXXXXXXXXXXXXXXXXX
Accept: */*
固件镜像阐发
文件体系提取
下载的镜像文件内容如下所示,文件数据的开首部门貌似是一个header,咱们以后会将其转换为FPKG文件:

接下来,咱们可以或许应用binwalk敏捷找到有价值的比特位数据:
$ binwalk wsd01_905.bin | head
 
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
28            0x1C            UBIFS filesystem superblock node, CRC: 0xBF63BF7E, flags: 0x0, min I/O unit size: 2048, erase block size: 126976, erase block count: 171, max erase blocks: 1000, format version: 4, compression type: lzo
127004        0x1F01C         UBIFS filesystem master node, CRC: 0x8D8C5434, highest inode: 1265, commit number: 0
253980        0x3E01C         UBIFS filesystem master node, CRC: 0x81BCA129, highest inode: 1265, commit number: 0
1438388       0x15F2B4        Unix path: /var/log/core
1444812       0x160BCC        Executable script, shebang: "/bin/sh"
1445117       0x160CFD        Executable script, shebang: "/bin/sh"
1445941       0x161035        Executable script, shebang: "/bin/sh"
由此可以或许看出,Aura下载的文件中包括一个UBIFS镜像(偏移量为0x1C)。有了jrspruitt的剧本【下载地点】赞助,从UBIFS镜像中提掏出文件相对来说照样比拟简略的。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载