Durante la conferencia ShmooCon IX, los investigadores Daniel Mende (conocido por ser el autor, entre otras herramientas, de Loki) y Pascal Turbing, ambos de la empresa ERNW, presentaron un estudio sobre la seguridad de las nuevas funcionalidades de conectividad IP en cámaras DSLR, más comúnmente conocidas como réflex digitales.
La presentación estuvo centrada en el modelo EOS-1D X, aunque según los autores los resultados pueden extrapolarse a cualquier otro modelo o fabricante con características similares. Este modelo posee conectividad a través de ethernet y, añadiendo el adaptador Wireless File Transmitter de Canon, también WiFi. Se demostró que estos dispositivos son vulnerables a través de los siguientes vectores de ataque:
- Posibilidad de conexión directa a un servidor FTP. Esta conexión no está cifrada, y por tanto es posible extraer tanto las credenciales del servidor como las imágenes que se están enviando si el atacante captura el tráfico de la red.
- Es compatible con las directrices DLNA (Digital Living Network Alliance), una organización sin animo de lucro cuyo objetivo son definir estándares de interoperabilidad entre dispositivos digitales en una relación cliente-servidor. En este caso podría ser entre la cámara y otros dispositivos, como por ejemplo una televisión. DLNA utiliza uPnP para el descubrimiento de dispositivos y HTTP/XML para el acceso al contenido, todo esto sin ningún tipo de restricción. Cualquier cliente DNLA en la misma red (incluido un navegador web) podría acceder a las fotos en la cámara.
- Yendo más allá, la cámara incluye un servidor web incrustado a través del ya comentado Wireless File Transmitter. Con él se pueden descargar fotografías y acceder al modo Live View, que muestra la imagen que esté captando la cámara en ese momento y permitir así convertirla en un sistema de vigilancia. Este servidor utiliza una autenticación HTTP básica, para posteriormente utilizar una cookie con identificador de sesión de sólo 4 bytes, lo que hace posible un ataque de fuerza bruta sobre las 65535 IDs de sesión posibles, siempre que un usuario haya iniciado anteriormente sesión en el servidor.
- Finalmente, se toma el control completo sobre la cámara a través de la EOS Utility. En resumen, se utiliza autenticación a través de PTP/IP (Picture Transfer Protocol), cuyos credenciales son el hostname de la cámara y su GUID. El primero no es realmente necesario, ya que se aceptan hostnames distintos al configurado, mientras que el segundo se encuentra ofuscado en la información uPnP de la cámara y es fácilmente calculable. A partir de aquí, es sencillo acceder a toda a configuración de la cámara, fotografías e imagen en tiempo real.
Evidentemente, como todos en los que se requiere captura o manipulación de tráfico, estos ataques son poco probables si la conexión WiFi está correctamente cifrada, por ejemplo mediante WPA2 y el atacante no comparte la red. Sin embargo, sí son posibles en escenarios como cafeterías, hoteles o centros comerciales, donde podrían existir conexiones WiFi compartidas con desconocidos o si el punto de acceso no es fiable.
Más información:
Shmoocon 2013 – Paparazzi Over IP (Video) [ENG]
Paparazzi over IP (Presentación) [ENG]
Francisco López
Pues o son dos bytes de id de sesión o las posibilidades son 2^32=4,294,967,296 que ya no es tan sencillo por fuerza bruta.
Un saludo y felicidades por las noticias