硬件设备黑客入侵操控：一种篡改IoT固件的攻击方式

随着智能硬件进入到人们的生活，人们与智能硬件之间的联系更加紧密。大家是否有想过，自己身边的硬件设备有可能已经被黑客入侵操控?

就在上个月，央视报道了扫地机器人如何变成“间谍”的新闻。黑客利用漏洞伪装成用户登录，然后对扫地机器人进行远程遥控，通过摄像头和手机的连接实时监控家中的环境 。此前，媒体还曝光了家用摄像头的安全风险，黑客可以远程遥控摄像头进行拍摄。

物联网中那些威胁的场景

1、设备出厂前留有后门或由内鬼批量植入恶意代码

2、第三方销售渠道(包括代购)在销售前，篡改软硬件内容或是在里面加入后门代码等等度。

3、经他人(维修点维修人员、同事朋友)手后，固件内容被篡改，待日后获取用户隐私，追踪用户位置等。

面对层出不穷的物联网设备安全事件，顶象技术的安全工程师用msp430开发板来演示一种篡改IoT固件内容的攻击方式。

模拟通讯场景

a、实验所采用的开发板使用的是TI公司的msp430f149芯片。

b、开发板有4个自定义按键：S1~S4。

c、开发板有8个LED指示灯：D1~D8。

d、有一个开发板可扩展1602LCD液晶显示屏。

根据开发板硬件原理图，P6OUT的第0~第7位分析表示D1~D8号LED灯，置0亮灯，置1灭灯。因此，0xFC对应D1和D2亮;

图1 开发板以及本实验中涉及到的硬件部分

假设有A和B两个端。当按S1/S2/S3时，从A发送特定加密数据给B;当按S4时，B接收信息并解密使用。

由于三组操作的步骤是相似的，这里只展示先按S1，再按S4这组操作的效果展示：

a、按S1键。A端将字符串"FC"加密发送给B。

b、按S4键。B端读取数据，然后解密并转换成整数，赋值给P6OUT。

攻击具体实现

按S1键。A端将字符串"FC"加密发送给B。

按S4键。B端读取数据，并解密并转换成整数，赋值给P6OUT，来点亮LED灯。

运行结果

Hook攻击测试

拦截Encrypt， 按S1/S2/S3键时将加密前后信息显示到液晶屏上。

拦截Decrypt， 按S4键时将解密前后信息显示到液晶屏上。

对于msp430芯片， 一般厂商在出厂时会烧断熔丝来防止固件提取。但事实上msp430芯片只需要支付几百块RMB，就可以将熔丝修复，并提取出固件内容。由于本测试是基于开发板，所以有关于提取固件的内容就不在这里详述了。

首先用工具将固件内容以TI-TXT的方式dump下来， 然后将用于Hook的opcode植入进去, 然后对TI-TXT文件完成修改操作。Hook完成后用Beyond Compare查看TI-TXT的对比如下图：

图3 对TI-TXT文件处理后的对比：左侧为原始固件内容，右侧为加入Hook代码后的固件内容

将改后的TI-TXT文件推回到开发板的芯片中。

运行结果

注意：按S1的图中，请无视LED灯(D1~D8)，因为这些灯是上次操作S4遗留下来的。S1的操作对LED灯没有任何影响。

图4 按S1键，在液晶屏上显示"FC"的加密过程

随着智能硬件进入到人们的生活，人们与智能硬件之间的联系更加紧密。大家是否有想过，自己身边的硬件设备有可能已经被黑客入侵操控?

就在上个月，央视报道了扫地机器人如何变成“间谍”的新闻。黑客利用漏洞伪装成用户登录，然后对扫地机器人进行远程遥控，通过摄像头和手机的连接实时监控家中的环境 。此前，媒体还曝光了家用摄像头的安全风险，黑客可以远程遥控摄像头进行拍摄。

物联网中那些威胁的场景

1、设备出厂前留有后门或由内鬼批量植入恶意代码

2、第三方销售渠道(包括代购)在销售前，篡改软硬件内容或是在里面加入后门代码等等度。

3、经他人(维修点维修人员、同事朋友)手后，固件内容被篡改，待日后获取用户隐私，追踪用户位置等。

面对层出不穷的物联网设备安全事件，顶象技术的安全工程师用msp430开发板来演示一种篡改IoT固件内容的攻击方式。

模拟通讯场景

a、实验所采用的开发板使用的是TI公司的msp430f149芯片。

b、开发板有4个自定义按键：S1~S4。

c、开发板有8个LED指示灯：D1~D8。

d、有一个开发板可扩展1602LCD液晶显示屏。

根据开发板硬件原理图，P6OUT的第0~第7位分析表示D1~D8号LED灯，置0亮灯，置1灭灯。因此，0xFC对应D1和D2亮;

开发板以及本实验中涉及到的硬件部分

假设有A和B两个端。当按S1/S2/S3时，从A发送特定加密数据给B;当按S4时，B接收信息并解密使用。

由于三组操作的步骤是相似的，这里只展示先按S1，再按S4这组操作的效果展示：

a、按S1键。A端将字符串"FC"加密发送给B。

b、按S4键。B端读取数据，然后解密并转换成整数，赋值给P6OUT。

攻击具体实现

按S1键。A端将字符串"FC"加密发送给B。

按S4键。B端读取数据，并解密并转换成整数，赋值给P6OUT，来点亮LED灯。

运行结果

Hook攻击测试

拦截Encrypt， 按S1/S2/S3键时将加密前后信息显示到液晶屏上。

拦截Decrypt， 按S4键时将解密前后信息显示到液晶屏上。

对于msp430芯片， 一般厂商在出厂时会烧断熔丝来防止固件提取。但事实上msp430芯片只需要支付几百块RMB，就可以将熔丝修复，并提取出固件内容。由于本测试是基于开发板，所以有关于提取固件的内容就不在这里详述了。

首先用工具将固件内容以TI-TXT的方式dump下来， 然后将用于Hook的opcode植入进去, 然后对TI-TXT文件完成修改操作。Hook完成后用Beyond Compare查看TI-TXT的对比如下图：

对TI-TXT文件处理后的对比：左侧为原始固件内容，右侧为加入Hook代码后的固件内容

将改后的TI-TXT文件推回到开发板的芯片中。

运行结果

注意：按S1的图中，请无视LED灯(D1~D8)，因为这些灯是上次操作S4遗留下来的。S1的操作对LED灯没有任何影响。

按S1键，在液晶屏上显示"FC"的加密过程

在按S1键后再按S4键，则点亮D1和D2灯，并在液晶屏上显示"FC"的解密过程

顶象物联网安全防护方案

顶象安全专家马涛建议：

1、首先，尽量从正规渠道购买信誉较高的产品。

2、其次，设备出现故障尽量选择官方指定维修点。

3、再次，自己的有可能涉及到隐私、敏感内容的智能硬件设备，如果可能，建议不要让它单独经他人之手。

4、最后，建议选择使用了强度较高安全解决方案的智能硬件设备。因为这种设备的修改固件的难度极大，安全性更好。

使用顶象IoT安全编译器和顶象IoT安全SDK可以使hook无法进行，同时逆向破解难度更高，使攻击者无法破解其内部工作逻辑，从而保证了这些IoT设备在复杂、不安全的环境中，仍能按照预设的功能正常、安全的运行。

图5 在按S1键后再按S4键，则点亮D1和D2灯，并在液晶屏上显示"FC"的解密过程

顶象物联网安全防护方案

顶象安全专家马涛建议：

1、首先，尽量从正规渠道购买信誉较高的产品。

2、其次，设备出现故障尽量选择官方指定维修点。

3、再次，自己的有可能涉及到隐私、敏感内容的智能硬件设备，如果可能，建议不要让它单独经他人之手。

4、最后，建议选择使用了强度较高安全解决方案的智能硬件设备。因为这种设备的修改固件的难度极大，安全性更好。

使用顶象IoT安全编译器和顶象IoT安全SDK可以使hook无法进行，同时逆向破解难度更高，使攻击者无法破解其内部工作逻辑，从而保证了这些IoT设备在复杂、不安全的环境中，仍能按照预设的功能正常、安全的运行。

或许还想看