婴儿监视器的漏洞分析

对于父母来说，要全天照顾一个婴儿几乎是不可能的事。如果有一款智能婴儿监视器可以随时使用，那父母就可以时刻监视孩子的状态了，所以智能婴儿监视产品的市场潜力巨大。作为一个新生儿的父母，肯定是既兴奋又焦虑的，父母们可能随时想知道宝宝是否安全，且状态怎么样。而这一切通过婴儿监视器就可以确认。不过对于这么一个潜力巨大的市场来说，不光有那些热心开发创新型产品，保护婴儿的身心健康的企业，也有存在黑暗角落的黑客。

前言

最近，奥地利安全咨询公司（SEC Consult）的研究人员发现了Mi-Cam婴儿监视器中一组关键漏洞，超过52000个婴儿监视器和用户帐户是易受到攻击的。利用这些漏洞，攻击者可以任意访问这些设备，并在没有进行身份认证的情况用婴儿监视器随时查看孩子的状态。

Mi-Cam是一款远程视频监视设备，由中国香港miSafes生产，他们同时也生产其它联网设备，例如宠物监视器和家庭安保设备。Mi-Cam婴儿监视器配备有网络视频监控系统以及720P高清摄像头，父母可通过Android或iOS设备连接监视器看护孩子。我总结一下，Mi-Cam可以为父母提供以下7个服务：

1.HD(720p)视频及音频监控；

2.双向音频传输；

3.支持SD卡记录；

4.语音和行为警报，可触发移动端应用程序发送通知消息；

5.同时管理多台婴儿监视器；

6.邀请多位家庭成员访问或管理多台婴儿监视器；

7.通过移动端App访问设备。

Mi-Cam婴儿监视器中的这组漏洞主要有六个，其中以下三个最为重要：

1.攻击者不需要客户端SSL证书或密码，就可使用代理服务器来拦截监视器和智能手机之间的通信；

2.Mi-Cam允许用户在忘记密码时对密码进行重置，为了验证用户的身份，它会在向客户注册的电子邮件发送一个6位验证密钥。黑客可以利用这个验证过程，轻而易举地破解用户的账户并获取密钥。

3.黑客还可以利用其中一个漏洞提取固件，确认只有四位数的默认密码。

经过SEC Consult的分析，这些婴儿监视器中使用的软件很多已经过时，并且存在许多已经公开的漏洞。自2017年12月以来SEC Consult就曾多次通知MiSafes设备安全性问题，但该公司并未做出任何回应。

以下是这些漏洞运行的展示视频：https://m.youtube.com/watch?feature=youtu.be&v=SsYnXRUhpL0

婴儿监视器的发展史

随着互联网的发展，市场出现了新的一批生产婴儿监视器的厂商。于是为了争夺这个市场，有些厂商就会大打价格战，极力压缩产品成本，这必然会导致产品安全的问题。

比如2017年6月，位于硅谷的Cocoon Cam就完成了第一轮的400万美元融资。

与Owlet、Sproutling或Neebo等其他智能婴儿监视产品不同，Cocoon Cam不是一款可穿戴的产品。相反，该产品通过与智能手机应用程序同步的运动检测摄像机来收集婴儿的生命体征。

左上图是经典的婴儿警报装置Beurer的Janosch，右上图就是miSafes的Mi-Cam

其实婴儿监视器中存在大量安全漏洞已经不是什么新闻了，常见的漏洞包括：硬编码后门凭证、特权提升漏洞、认证绕过漏洞、直接浏览漏洞、信息泄漏漏洞、反射存储型跨站脚本（XSS）漏洞。

研究人员发现，流行的网络婴儿监视器产品中存在重大安全漏洞，这可能允许攻击者窥视婴儿和企业。对黑客来说，婴儿监视器是一个重点攻击目标，大多家庭都认为婴儿监视器是安全无害的设备，然而却完全忽视了网络攻击的风险。实际上，这些设备正如许多其他网络设备一样，都可能成为家庭网络环境的入口点。另外，婴儿监视器可作为其它攻击的跳板，黑客通过使用搜索引擎Shodan，就能很容易发现婴儿监视器以及其它相关的物联网设备。

Mi-Cam的网络通信安全分析

Android应用程序和婴儿监视器的使用会导致大量的HTTPS请求和对云服务的响应。所有请求都会发送到解析到域名为ipcam.qiwocloud2.com的主机进行解析，而该主机则托管在Amazon AWS上。该通信基于RESTful API，使用HTTPS POST请求和JSON对象作为数据格式，并提供各种支持功能。支持对用户进行身份验证以及在两个设备上进行设置或恢复配置等功能。

研究人员通过对婴儿监视器和云服务之间观察到的HTTPS流量进行分析，发现婴儿监视器上使用了客户端SSL证书来对用户进行认证。

如果研究人员没有提供有效的客户端证书，则无法观察和拦截婴儿监视器的HTTPS通信。但是通过提取客户端SSL证书，就可以通过识别漏洞启用静态私钥，这样研究人员就可以观察和拦截源自婴儿监视器的HTTPS流量。SEC Consult在过去的有关House of Keys的研究中就已经发现了有多个设备使用了静态加密密钥或证书，并对这些设备进行了长达9个月的跟踪。

以下就是研究人员提取的客户端证书：

正如你所看到的，所有用于Mi-Cam设备的客户端证书都是长期有效的，并且是由Qiwo颁发的。

Kalay云平台的网络流量分析

虽然研究人员在观察到的网络流量中并没有发现常见的音频和视频传输协议，但却发现了使用具有使混淆视频流字符的专有音频或视频传输协议。研究人员除了能够对Mi-Cam与云端服务器之间的网络数据进行反混淆处理外，还可以自动解码并从捕捉到的数据（pcap）中提取出视频流数据。关于这部分的研究成果，敬请关注我以后的文章。

通过对婴儿监视器的固件和网络流量的进一步分析，研究人员发现了这些网络流量都来自被称为“Kalay云平台”的物联网生态系统。Kalay云端平台整合设备智慧化过程中所需元素，并提供适用于各种操作系统的应用程序编程接口(API)，让装置得以跨越品牌及通讯协议相互沟通。

Kalay是台湾兰屿雅美 (达悟) 族的语言，意为“牵手”；也象征着物联智慧的云端平台极具弹性，可跨操作系统快速串联各种智慧应用。Kalay平台让零售商、系统集成商、消费型产品制造商及服务提供商简易快速开发联网装置，并快速建立专属智能产品生态系统。由Kalay Connect、Kalay Cloud及Kalay Apps组合而成的Kalay平台，透过完成整合之逾百种SOC芯片，协助企业加快产品上市速度及开发物联网相关应用。

对奇沃和奇虎360平台的婴儿监视器的安全性分析

对网络通信和诸如域名注册人等许多其它信息的分析表明，第三方的平台的介入并没有被公开描述或说明。目前可以确定的第三方平台是深圳奇沃智联科技股份有限公司，该网站在其网站qiwo.mobi上刊登了一系列连接互联网的设备，包括用于监控儿童的摄像头。进一步的研究表明，“MISAFES”是一个注册商标(编号:86621737)，目前由深圳奇沃智联科技股份有限公司拥有。这就产生了一个假设，即miSafes只是深圳奇沃智联科技股份有限公司的子公司。

除了miSafes以外，其他几家供应商（如奇虎360）在amazon.com网站上也出售相同或非常类似的婴儿监视器版本。下图就是各种产品的介绍，但尚未经过安全审查，但基于企业关联关系（深圳奇沃智联科技有限公司是奇虎360的合资公司），研究人员断定目前已发现的这些婴儿监视器的安全问题也会影响其他供应商。

婴儿监视器的漏洞分析

接下来，我会介绍Android端应用、云端服务、以及婴儿监视器硬件中存在的安全漏洞：

1.会话管理漏洞以及不安全的直接对象引用；

2.修改密码时出现验证码无效；

3.可用的串行接口；

4.默认凭证安全性较弱；

5.枚举用户账号；

6.老旧和易受攻击的软件。

请注意，在本文的研究过程中，研究人员的主要注意力将放在分析App、婴儿监视器和云端基础设施之间网络通信的身上，而不是应用程序本身，比如iOS或Android。另外，由于目前厂商还没有发布相应的漏洞修复补丁，处于安全考虑，研究人员还不能对外公布漏洞的详细信息。

1.中断会话管理以及不安全的直接对象引用

Android应用程序的使用以及与婴儿监视器的交互涉及对中央云服务的几种不同的API调用。由于会话管理受到破坏，攻击者可以使用任意会话令牌访问许多关键的API调用。点击该视频（视频地址：https://youtu.be/SsYnXRUhpL0），你将会看到该攻击者是如何通过修改单个HTTP请求访问和交互（例如，使用双向音频功能）任意婴儿监视器的。这就允许攻击者检索有关监视器帐户及其相关的婴儿监视器的信息。通过此功能检索到的信息足以查看所有连接的婴儿监视器并与所提供的UID进行交互。

攻击者不需要客户端SSL证书，只需要应用程序和拦截代理服务器就可以执行此攻击。

2.修改密码时出现验证码无效

如果用户在忘记密码时，那么在重置密码时，后台会向重置的电子邮件地址发送一个6位验证密钥（有效期为30分钟），以设置新密码。攻击者可以通过暴力攻击绕过这种保护措施，并且轻松接管任何现有帐户。

3.可用的串行接口

婴儿监视器的印刷电路板（PCB）包含一个未标记的通用异步接收器或发送器（UART）接口，这样攻击者就能够访问婴儿监视器的硬件，并提取固件以供进一步分析。SEC Consult通过使用IoT Inspector就可以分析固件来识别进一步的安全漏洞，例如过时的软件或弱密码。

下图即使婴儿监视器的内部结构，包括PCB板以及UART接口等。

婴儿监视器的内部结构的正面

PCB的正面

UART：一个可用的UART接口，通过用数字万用表进行测量来确定 pin layout；

GND：接地引脚；

RX：接收器引脚；

TX：发送器引脚；

VCC：共同集电极上的3.3伏电压；

SPI FLASH：串行外设接口（SPI）NAND闪存，型号为Mactronix MX25L12835F；

SD卡插槽： micro SD卡插槽；

麦克风连接器：用于放置在前侧外壳中的麦克风的2针音频连接器；

扬声器连接器：用于放置在背面箱中的扬声器的2针音频连接器；

电源IC：电源管理集成电路（Power IC或PMIC）。型号Sonix SNAP01A；

相机： OmniVision OV9715 720p；

LED指示灯：LED指示灯模块；

PCB的背面

射频天线：射频（RF）天线连接器；

RF：Realtek RTL8188EUS无线芯片；

SOC：Sonix SN9836AFG SoC根据标签，带有ARM926EJ-S rev 5处理器和37兆字节内存；

Micro USB：Micro USB母头连接器；

配对按钮：启动配对过程的物理按钮；

UART接口

如下图所示，为了访问该接口，pin breakout要焊接到PCB上，并使用用USB串行转换器与之连接。

4.默认凭证安全性较弱

通过分析提取的固件或者仅通过对正在运行的系统执行暴力攻击，就可以扫描出具有root用户的婴儿监视器的四位数默认凭证。

root:<redacted>

5.枚举用户帐户

其中一个API调用可泄漏用户的帐户（电子邮件地址）的信息，攻击者可以枚举电子邮件地址并使用获取的信息接管已识别的用户帐户，如上面漏洞中所述的“修改密码时出现验证码无效”。

6.老旧和易受攻击的软件

通过使用IoT Inspector对提取的婴儿监视器固件执行自动固件分析，研究人员已识别出受已知漏洞影响的多个组件，具体的版本信息请点击此链接来查询。

从安全角度来看，建议不要再使用这些设备，直到所有安全问题得到解决并通过了全面的安全测试。