В современном мире умные устройства, подключённые к интернету вещей, становятся неотъемлемой частью наших домов. Среди множества таких гаджетов видеозвонки Blink занимают особое место, предлагая пользователям удобство и безопасность удалённого контроля своих дверей. Однако даже такие технологичные приборы не застрахованы от наличия уязвимостей, которые могут негативно сказаться на их безопасности и конфиденциальности. Владелец Blink-устройств и исследователи безопасности не так давно обнаружили серьёзные бреши в программном обеспечении этих видеозвонков, которые открывали возможность удалённого выполнения произвольного кода и обхода систем доверенной загрузки. Разберёмся, как эти уязвимости были выявлены, какие методы использовались для их анализа и эксплойта, а также почему столь сложный, но эффективный эксплойт получил название «orbital fracture».
История открытия уязвимостей началась с простого желания исследователя технологии—разобраться, как работает Blink, и попытаться найти интересные технические решения и особенности. Приобретя устройство, он начал с изучения процесса инициализации и настройки видеозвонка. Оказалось, что во время первоначальной установки устройство раздаёт Wi-Fi сеть с уникальным именем, основанным на серийном номере. Мобильное приложение Blink подключается к этой сети и производит обмен конфигурационными данными с http-сервером, встроенным в видеозвонок. При этом большая часть информации шифруется, однако сам сервер использует HTTP, а не защищённый протокол HTTPS, что уже само по себе создаёт потенциальные риски безопасности.
Для анализа работы устройства был извлечён дамп флеш-памяти SPI, содержащий прошивку и необходимые системные компоненты. Использование инструментов binwalk и анализ по(entropy window) помогли выявить структуру прошивки: набор заголовков и блоков данных, где хранилась кодовая база и ресурсы. Особенность Blink в том, что главный процессор использует проприетарную архитектуру ARCompact, совместимую с ARC600 и значительно отличающуюся от стандартных ARM. Это усложнило процесс реверс-инжиниринга, так как популярные дизассемблеры и декомпиляторы изначально не поддерживали эту архитектуру, либо работали с ограничениями. Настоящее открытие случилось при анализе функции обмена ключами и аутентификации на устройстве.
Исследователь обнаружил классическую уязвимость – буферное переполнение, возникающее из-за неправильного обращения с длиной выходного буфера при операции AES-расшифровки. Поскольку эта операция происходила на стеке, емкость которого была ограничена, удалось инициировать перезапись данных, в том числе адресов возврата и других критичных переменных. Это обеспечило возможность запуска произвольного кода на устройстве во временном окне во время первоначальной настройки. Несмотря на наличие встроенной системы доверенной загрузки (trusted boot), позволяющей гарантировать целостность и подлинность прошивки, исследователю удалось обнаружить лазейку, которая позволяла обходить эти механизмы. Проблема заключалась в том, что фабричный дамп инициализационного образа, используемый для восстановления при неудачном обновлении, можно было подменить, изменив хэш в контролирующем загрузчик коде без прохождения аутентификации.
Это позволило переписать прошивку и внедрить собственный код с возможностью сохранения даже после перезагрузки устройства. Особый интерес представляет тот факт, что само AES-шифрование сообщений осуществляется с помощью небезопасной конфигурации AES-CBC без аутентификации, подверженной атакам на изменение зашифрованных данных (malleability attacks). Поскольку данные передаются по незащищённой Wi-Fi сессии во время установки, злоумышленник в радиусе действия сети может перехватить и модифицировать трафик, подстроив ключи и запускаемые параметры для эксплуатации уязвимости переполнения. Реверс-инжиниринг исполнения, несмотря на сложную архитектуру и отсутствие официальной документации, был выполнен вручную с помощью различных техник и полезных дополнительных инструментов. Для разбора байт-кода был модифицирован декомпилятор Ghidra для поддержки большой эндианности ARCompact и особенностей процессора.
В ходе исследования была реконструирована работа RTOS ThreadX, сетевого стека NetX Duo и встроенного HTTP-сервера, что позволило получить глубинное понимание внутренней логики и уязвимых взаимодействий. Для непосредственного запуска произвольного кода на устройстве был построен ROP-цепочка (return-oriented programming), позволяющая переписать части памяти, чтобы загрузить полноценное шеллкоде. Из-за особенностей кэширования инструкций и данных, а также ограничений памяти, было необходимо тщательно подобрать набор гаджетов и ресурсов, что представляло собой сложную и кропотливую задачу. Как итог, исследователь смог разработать работающий эскплойт, который позволяет с физической близости в течение короткого промежутка времени после сброса устройства внедрить и выполнить произвольный код с сохранением после перезагрузки. Это открывает серьёзные угрозы безопасности: возможность наблюдения за окружающей средой, перехвата видеопотока, а также полного компрометации локальной сети со всеми вытекающими последствиями.
После публикации результатов и предъявления отчёта в специализированные сервисы по обработке багов, включая HackerOne, производитель Blink оперативно выпустил обновление, устраняющее выявленное переполнение стека и улучшившее защитные механизмы. Однако оставшиеся элементы обхода доверенной загрузки, по предварительной информации, всё ещё могут представлять опасность. К тому же, сложность атаки и строгое временное окно ограничивают масштабность применения эксплойта в массовых условиях. Данная история демонстрирует, насколько важно не только разрабатывать сложное программное обеспечение и аппаратные комплексы, но и анализировать каждое звено в цепочке обеспечения безопасности. Несмотря на усилия и использование современных криптографических алгоритмов, неправильная их реализация и отсутствие комплексной проверки аутентичности данных могут привести к катастрофическим последствиям.
Для пользователей видеозвонков Blink имеет смысл внимательно следить за обновлениями производителя, особенно касающимися безопасности, и своевременно их устанавливать. Кроме того, рекомендуются меры по ограничению доступа к устройствам во время сетевой инициализации – например, проведение настройки в защищённой зоне с минимальным числом потенциальных злоумышленников в радиусе действия. Изучение подобного рода уязвимостей также вдохновляет специалистов и энтузиастов на дальнейшие исследования в области IoT-безопасности. Это подчёркивает важную роль кибербезопасности в эпоху повсеместной цифровизации и интеграции физических устройств в сеть интернет. Разработка и внедрение более надёжных протоколов обмена данными, улучшение механизмов доверенной загрузки и использования криптографических протоколов с проверкой целостности и аутентичности – ключевые шаги для повышения уровня защиты.
В заключение стоит отметить, что исследование уязвимостей Blink видеозвонка является отличным примером того, как глубокий технический анализ, упорство и творческий подход позволяют выявлять и устранять серьезные угрозы в смарт-устройствах. Это опыт, который служит уроком как производителям, так и конечным пользователям, делая наш цифровой мир чуть более безопасным.
