比赛现场视频

2018 年 10 月 25 日,在上海 GeekPwn 安全极客大赛中腾讯安全移动安全实验室安全研究员韩紫东、秦书锴通过远程控制手机连接并控制相同 Wi-Fi 下的乐视电视,在乐视电视屏幕上进行文字、命令编辑演示,通过手机控制电视播放 GeekPwn 比赛视频,并最终能够以电视为室内控制基站控制室内其他 IoT 设备。赛后主办方将漏洞详情提交至乐视安全应急响应中心。

近日乐视安全应急响应中心发布安全公告,在收到极棒提交的乐视电视安全漏洞详情后团队快速响应,第一时间在乐视电视最新版本系统上确认问题。乐视安全应急响应中心特别致谢 GeekPwn 组委会以及两位参赛选手。

乐视安全应急响应中心对于安全问题及时确认、快速反馈、努力提升产品安全性的态度是对用户负责的表现。

腾讯安全移动安全实验室韩紫东、秦书锴

安全公告详情

此漏洞利用过程本质是两位安全研究员通过乐视智能电视 DLNA 功能远程下载、安装并执行在云端配置好的木马应用程序。

什么是 DLNA?

DLNA 的全称是 DIGITAL LIVING NETWORK ALLIANCE (数字生活网络联盟) ,由索尼、英特尔、微软等发起成立,是 IoT 互联基础协议框架和接口标准,延伸到家庭中的每一个设备,旨在解决个人电脑,消费电器,移动设备在内的互联互通,目前成员公司已达 280 多家。

DLNA 将其整个应用规定成 5 个功能组件。从下到上依次为:网络互连、网络协议、媒体传输、设备的发现控制和管理、媒体格式。

DLNA 协议框架图

DLNA 协议框架中使用 UPnP 协议来实现设备的发现和控制。

什么是 UPnP?

UPnP,英文是 Universal Plug and play,翻译过来就是通用即插即用。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,协议框架如下图:

UPnP 协议框架图

UPnP 协议框架中包含,SSDP(Simple Service Discovery Protocol)简单服务发现协议,用于发现局域网里面的设备和服务;SOAP(Simple Object Access Protocol)简单对象访问协议,定义如何使用 XML 与 HTTP 来执行远程过程调用(Remote Procedure Call)。包括控制点如何发送命令消息给设备,设备收到命令消息后如何发送响应消息给控制点;GENA(Generic Event Notification Architecture)通用事件通知架构,定义在控制点想要监听设备的某个服务状态变量的状况时,控制点如何传送订阅信息并如何接收这些信息。

UPnP 工作流程分析如下:

1. 寻址(Addressing)。当一个 UPnP 设备或 控制点接入网络时分配一个IP地址。

2. 发现(Discovery)。设备可以通过网络向控制点提供自己的相关信息;而 控制点可以从网络上获取自己感兴趣的设备的信息。

3.描述(Deion)。当设备和控制点(LETV)取得联系后,设备(LETV)返回 XML 文件告知控制点其服务的详细信息。

4. 控制(Control)。当控制点获取了设备(LETV)的信息后,控制点可以对该设备进行控制。控制点通过向该设备某个服务的 URL 发送操作请求来控制该设备。请求和响应消息同样是 XML 格式的,并封装在 SOAP 中通过 HTTP 协议进行传送。

5. 事件( Eventing)。当设备的服务状态发生变化时设备通过事件来通知控制点

6. 展示( Presentation)。UPnP 规定设备制造商通过展示可以提供该设备内容和功能的相关描述信息

UPnP 工作流程图

在 GeekPwn 大赛中,韩紫东、秦书锴两位选手利用了 UPnP 流程中的 3、4 过程,通过 DLNA 协议框架中 UPnP 协议下 SOAP(Simple Object Access Protocol)简单对象访问协议,向 LETV 服务远程下发下载请求,并在 LETV 上进行安装执行。

黑客屋项目现场实景

1.LETV 在发现协议中通过 XML 文件声明告知手机控制端自身提供原用于遥控器应用更新下载服务,选手通过控制端连接电视后即可发送 XML Message 的方式请求 DownLoadFile 的服务,电视内部收到服务请求未进行有效过滤即进行下载 APK 动作。

2.关于安装和执行操作。下载 APK 应用后,选手使用同样方式通过发送消息,请求电视 DLNA 服务向电视 EUI 系统发送特定内容广播。利用电视广播服务,调用系统内部静默安装服务,并对 Activity 进行调用。

最终通过远程下载、安装、执行应用木马,选手达到了控制电视,间接控制智能家居设备的目的。

影响范围

乐视电视产品包括:LETV uMax120、uMax85、Unique75S、超4 X70、Max70 3D、超4Max65、Zero65、X65L、X65N、X65S、超4 Max55、超4 X55 Curved、超4 X50 Pro、 X50 Pro、 X55N、X43N、X40N、X40L、超4X75、X40C

DLNA 提供浏览、搜索、打印、控制、上传、下载等功能,Android 投屏、SMB、多媒体播放和遥控器功能使用协议,得到多数智能家居厂商设备支持,并在协议框架中进行功能拓展,添加自定义服务。

许多安装于电视、盒子等智能设备之上的第三方应用也会默认开启 DLNA 服务,丰富其功能。黑客利用此类漏洞可以浏览 IoT 设备文件资源,非法调用智能设备服务,播放任意多媒体资源,远程安装执行木马应用完全控制设备。

安全提示

  • 智能家居等 IoT 设备厂商,提供 DLNA 服务应用开发者(特别是在公共场合使用的互联网电视产品厂家)需要重视这种近距离攻击威胁的可能危害,有职责和义务在提供用户良好产品体验服务同时,注意严格过滤 DLNA 服务请求,验证敏感操作请求来源,防范这类恶意利用给用户带来的潜在社会风险和损失。
  • 建议政府相关 IoT 安全标准机构、应用市场等APK渠道上架审核予以关注,IoT 安全检测平台也可将此类漏洞纳入审核,以共同打造更健康可靠的 IoT 安全市场环境。

或许你还想看

更多比赛精彩视频

查看原文 >>
相关文章