[하드웨어 해킹] 펌웨어 획득 시도

goldenGlow_21·2025년 3월 19일

MIPS 아키텍처 IoT기기 취약점 분석

목록 보기
10/30

OTA

LAN card

  • 와이어샤크를 이용해 캡쳐, 패킷 식별 시도
  • IEEE 802.11로 암호화된 것으로 예상, 와이어샤크의 자체 기능으로 복호화 시도
  • 다만 프로토콜 지정 후에도 패킷 정보 제대로 열람 불가능. 암호화 형식이 다른 것으로 추정

Mac Sniffing

  • 맥의 자체 스니핑 기능을 이용해 업데이트 내용을 가로챔
  • 텐센트 클라우드 컴퓨팅과의 통신 내역을 확인 - 이게 펌웨어 내용일 것이라 추정
  • 캡처한 파일을 대상으로, 펌웨어 내용이 맞는지 검증 시작

  • sg.p2psy2.io.mi.com
  • 121.88.255.50 과 192.168.0.58(IP 카메라) 간에 통신이 이루어지는 것을 확인
    - 해당 IP가 프록시일 수도?
  • 192.168.0.49와 192.168.0.58 간의 지속적인 통신 확인
    - ACK, PSH 등을 지속적으로 서로 주고받음
    - 처음에는 펌웨어를 폰 경유해 전달받는 것으로 의심
    - 일단 IP 카메라의 시야를 폰으로 전송해 주는 것이 찍힌 것으로 판단함

  • 20000 번대 초반, 47.241.49.4(알리바바 IP)로부터 IP 카메라로 전송되는 다량의 패킷 확인
    - 일단 펌웨어 다운로드의 내역으로서 가장 유력하다고 보여짐

  • 100000번대 초반, IP 카메라에서 203.205.157.127(텐센트 클라우드 컴퓨팅)로 전송되는 다량의 패킷 확인
  • 무엇을, 왜 전송하는가...
  • 세팅을 마친 후, 기기의 정보를 텐센트 클라우드 컴퓨팅에 등록하려는 것으로 유추 가능
  • 다만 패킷의 양이 꽤 되기에, 아직 의문은 해결되지 않은 상태

UART

상황 설명

  • IP 카메라 2종을 대상으로 한 UART 분석이 실패
  • 납땜 문제로 추출 실패한 것으로 추정되기에, 최대한 납득 가능한 실패를 겪기 위해 납땜이 필요 없는, UART 핀 헤더가 살아 있는 WiFi 공유기 제품을 추가적으로 구매함
  • 시리얼 포트 케이블도 기판이 보이는 것이 아닌, USB 단자까지 하나로 묶인 완제품으로 새로 구매함

UART 핀 식별

  • 멀티미터기(Conductivity Mode)로 리드선(검정)을 Flash Memory의 GND에 갖다댄 후, 빨강 선을 각 UART 핀에 접촉시키며 UART의 GND 핀을 식별 - 소리 나는지 확인할 것
  • 이후 DCV 모드로 바꾸고 UART의 GND 핀에 리드선을 대고, 빨강 선을 다른 UART 핀에 접촉시키며 전압을 확인하여 TX/RX 핀을 확인
    - 다만 전압이 각 핀마다 비슷하게 나타나, 이 경우 비슷한 계열인 다른 제품의 기판을 참고해 RX, TX 핀을 예상함

시리얼 포트 케이블 연결

  • 저렴한 버전의 케이블을 사용한 시도가 모두 좌절됨
  • 새롭게 구매한 일체형 장비로 각 핀을 연결
    - GND 핀은 그대로, RX와 TX는 서로 교차시켜 연결

Window 대상 연결

  • 노트북의 측면, USB 2.0 포트에 해당 케이블을 연결
  • PuTTy 소프트웨어를 이용해 Serial 항목으로 접속 시도
  • 보드 레이트 38400에서 성공함

Mac 대상 연결

  • 가상 환경 Kali Linux에서 연결 시도
  • USB 3.0 포트에 해당 케이블을 연결
  • 터미널에서 접속 시도하였으나 모든 Baud rate 값 접속 실패

Mac 연결 시도 2차

  • 가상환경이 아닌 로컬에서 연결 재시도
  • 이번엔 같은 보드 레이트로 성공
  • 문제점 파악 시작

문제점 확인

  • 가상환경이 아닌 로컬에서 연결 시, USB 포트 2.0을 사용하였음을 발견
  • 가상환경에서 다시 실험한 결과, 환경에 상관 없이 USB 포트 3.0에선 실패하고 2.0에서 성공하는 것으로 확인
  • 보드 레이트가 USB포트에 따라 다른 영향을 받거나 미치는 것으로 추정
  • 다만 3.0의 경우 하위 버전에 대한 호환이 완벽하게 이루어질 것이라 예상하였으나... 아니었음

추후 과제

  • UART 핀을 통해 추출한 펌웨어를 제조사 홈페이지의 것과 비교해 무결성 검사를 진행할 예정

Flash Memory Dump

  • 샤오미 제품의 경우 칩이 CH341A와 호환되지 않아 사실상 실패함
  • Tplink의 제품은 SPI 연결해도 아무것도 뜨지 않음
    - 추후 재시도 예정

작업 기록

  • Xiaomi C200 하드웨어 분해 및 펌웨어 추출 시도
    - OTA: 실패
    - UART: 실패
    - SPI: 실패

  • TPlink Tapo C201 하드웨어 분해 및 펌웨어 추출 시도
    - OTA: 성공
    - UART: 실패
    - SPI: 실패

  • iptime N704VS 하드웨어 분해 및 펌웨어 추출 시도
    - UART: 성공

사진 기록

profile
goldenGlow_21
안드로이드는 리눅스의 꿈을 꾸는가
이전 포스트

[환경구성&준비] 도구, SW 최종 선정

다음 포스트

[1-day] 최초 회의

0개의 댓글