數位相機 PTP 協定驚爆出現漏洞，駭客可發動 OTP 植入勒索軟體攻擊

長久以來，勒索軟體（Ransomware）一直是個人電腦十分氾濫常見的惡意攻擊，最耳熟能詳的攻擊手法就是，入侵電腦的駭客會將電腦某顆硬碟或重要資料夾加密，使用者唯有支付贖金才能正常解開硬碟與資料以存取重要檔案。如今這類惡意攻擊的魔掌開始伸向單眼數位相機（DSLR），開始打起加密劫持並勒索人們心愛照片的主意。

「任何『智慧型』裝置，包括 DSLR 在內，都有易受駭客攻擊的風險，」以色列網路安全公司 Check Point Software Technologies 安全研究人員 Eyal Itkin 於 11 日表示，經過實測，最新型號的 Canon EOS 80D DSLR 連接 USB 和 Wi-Fi 時，會有招致勒索軟體或其他惡意軟體攻擊的風險。

但這次研究人員實測勒索軟體攻擊的重點不在 USB，而是確認了目前數位相機普遍採用的圖片傳輸協定（ Picture Transfer Protocol，PTP）有漏洞，這使安全研究人員經由惡意 Wi-Fi 連接，成功運用勒索軟體感染 Canon EOS 80D DSLR。

其實數位相機早有被駭客入侵劫持的紀錄，方式就是 USB 連接。事實上，任何透過 USB 與電腦相連的裝置，包括數位相機、USB 隨身碟、讀卡機、智慧手機等，都有被惡意攻擊的可能性，這也是為何許多公司（尤其高科技半導體大廠）嚴禁使用 USB 裝置。

支援 PTP 相機都有遭攻擊可能

Check Point 安全研究人員 Eyal Itkin 在 11 日拉斯維加斯舉行的 DEF CON 駭客大會受注目的展示重點，就是突顯當前廣泛使用在各大相機的 PTP 傳輸協定，可被駭客發動勒索軟體攻擊的漏洞。換言之，除了展示的 Canon EOS 80D DSLR，所有支援 PTP 協定的數位相機都有可能進行空中下載（On the Air，OTA）時被攻擊勒索。

Canon 相機執行 PTP 協定時發現的 6 個漏洞中，一些漏洞還為各種攻擊提供如何入侵的選項。攻擊的最後階段是完全接管裝置，並允許駭客在數位相機部署任何惡意軟體。在支援無線連接的裝置，可藉由惡意 Wi-Fi 存取點（AP）劫持。再不然，駭客也可透過與數位機相連的電腦攻擊相機。

越過重重關卡成功獲得非加密形式的韌體之後，Itkin 得以分析 PTP 如何在 Canon 相機實作。他們掃描所有 148 個受支援的命令，並將列表縮小到 38 個會接收輸入緩衝區的命令。

以下列出幾個漏洞百出的命令及唯一數字操作碼（Numeric Opcode）。不過，並非所有命令都是未經授權惡意存取相機時所需。

CVE-2019-5994 – SendObjectInfo 命令緩衝區溢位（opcode 0x100C）
CVE-2019-5998 – NotifyBtStatus 命令緩衝區溢位（opcode 0x91F9）
CVE-2019-5999 – BLERequest 命令緩衝區溢位（opcode 0x914C）
CVE-2019-6000 – SendHostInfo 命令緩衝區溢位（opcode0x91E4）
CVE-2019-6001 – SetAdapterBatteryReport 命令緩衝區溢位（opcode 0x91FD）
CVE-2019-5995 – 惡意韌體背景預設更新

目前 Canon 已釋出更新版韌體

最突破性的是，他發現完全不需與使用者進行任何互動，就能允許遠端韌體更新的 PTP 命令。透過逆向工程，他破解了驗證韌體合法性並用來加密韌體的金鑰。以這種方式構建的惡意更新將擁有正確的簽章，且數位相機會認為它是合法的，因為它通過了驗證。

Itkin 的努力得到回報，不僅能利用 USB 和 Wi-Fi 發動漏洞入侵攻擊，還找到一個能將數位相機記憶卡的檔案加密的方法：使用韌體更新過程採用的相同加密功能。Itkin 在展示最後，成功讓 Canon EOS 80D 相機感染勒索軟體，並在相機螢幕秀出要求使用支付贖金的訊息。

Check Point 是在 3 月 31 日向 Canon 通報這漏洞，並於 5 月 14 日驗證，兩家共同致力修補了漏洞。自 7 月 30 日開始，歐亞兩洲 Canon 客戶已可下載最新 1.03 版韌體更新檔以修補漏洞，至於美國地區也自 8 月 6 日起開始提供相同版本韌體更新服務。

為了避免遭到攻擊，Check Point 安全人員呼籲使用者盡快確認並下載更新最新版韌體，並建議數位相機不使用時務必關閉 Wi-Fi 功能，並盡量避免在公共場合透過公共 Wi-Fi AP 連線處理個人相片。至於 Canon 之外的其他廠牌數位相機使用者，也要密切注意官方是否釋出最新韌體更新訊息，以避免遭攻擊的可能性。

（首圖來源：pixabay）