用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

16

主题

42

帖子

3459

魔法币
收听
0
粉丝
74
注册时间
2016-12-7

i春秋签约作者春秋文阁

发表于 2018-2-7 15:08:01 62169
   一月份收到蛋蛋发来的小米摄像头,在这里简单做一个测评,鉴于手头除了一把剪刀外就没有别的工具了,因此在这篇文章中,笔者将重心放在"如何对硬件系统进行初步的分析"而不是"看我如何撸爆小米摄像头",我们先来看看这款摄像头的外包装
IMG_20180207_105452.jpg IMG_20180207_105501.jpg IMG_20180207_105507.jpg

就这款的外包装而言,应该来说中规中矩,通过其功能来看,这款摄像头内部应该配备有WIFI及蓝牙相关模块或处理芯片,至于网络存储,则应该有一个FLASH芯片.我们继续打开外包装,看看这款摄像头的内部

IMG_20180207_105628.jpg IMG_20180207_105711.jpg

包含了一个摄像头的本体,一个充电器,然后是说明书,通过说明书我们基本可以了解到这款摄像头的连线方式,简单而言,这款摄像头需要通过连接WIFI来实现上线,首先我们需要下载一个米家APP,通过设置wifi的账户密码,生成一个二维码让这款摄像机扫描,扫描通过后再由摄像头连接无线路由器.

因此,从这里我们可以知道如果我们对摄像头连接路由器发起攻击(例如ARP欺骗),那么是肯定可以让摄像头的连接断线的, 那么如果你使用这款摄像头那么你就应该把这款摄像头部署在比较隐秘的或者难以够到的位置,如果是有心之人想在这款摄像头底下拿走某样东西,那么他只需要对这款摄像头连接的路由器发起ARP攻击,然后找个锤子把它砸个稀巴烂就行了.

   笔者通过旋转摄像头机体,发现这款摄像头是可以旋下来使用的,笔者觉得这是这款摄像头的一大亮点,毕竟旋下来的机体,可以很方便的安装在一些别的某些地方

IMG_20180207_110821.jpg

之后就是激动人心的分尸阶段了,当然,假如你是只是想使用这款摄像头的话,下面的步骤你就可以跳过了,假如你是希望分析这款摄像头的话,那么分尸的步骤就必不可少,但是在拆解摄像头之前,你必须在心中明白,你拆解设备的目的是什么,希望搞清楚哪一个目标,同时怎么拆解,如何拆解都需要做进一步的调查,笔者按照自己的经验,总结了以下几点:

1.通过google baidu等渠道,查看网上已经有的拆解测评,这样可以让你更快的拆解好这款摄像头,同时避免一些"不正当"的暴力,损坏摄像头的关键部位(笔者这次分尸,就弄断了6PIN排线),同时网上一些比较详尽的测评也可以让你快速的了解其硬件部署.

2.明白自己要找到什么,按照笔者的经验而言,分析一款单片机产品,第一步是先把这款产品使用一遍,熟悉他的基本用法,然后就是查看其电路板(一般而言这类产品基本都是,单/双面板)查找其关键的主控芯片,大部分的单片机产品其程序都是直接烧录到片上的,

3.大致了解其芯片部署,例如片上是否有SRAM芯片,FLASH芯片,同时WIFI及相关DAC功放甚至是一些硬件加密芯片都可以在你分析这款芯片的程序之前,给你猜想的空间让你大致了解这个产品是如何运行的

4.查找片上芯片的datasheet,不管怎么样,datasheet能告诉的的东西,不能说最多的,但肯定是最必须的.


笔者原本还想找个螺丝刀,结果发现根本用不上,小米的摄像头估计属于那种装好了就没打算拆的,废了九牛二虎之力撬开了摄像头的前盖,同时也撬坏了排线

初步打开前盖,大概是这个样子

IMG_20180207_113926.jpg

灯泡与红外传感器通过一个6PIN线与主机体相连,同时,机体前后都夹着被动式散热片,可知这款产品的发热还不小.

先给这个模块来个特写

IMG_20180207_113931.jpg

然后我们继续查看其机体,先看看正面

IMG_20180207_115607.jpg

首先在正面那个USB口和TF卡槽我们就不多说了,主要芯片一个是25Q127CSIG,这是一个应该是128M大小的FLASH芯片,假如这款摄像头真如它所说的1080P,那么这个芯片大约能够存储几十分钟高清或者几个小时的低清录像.不过笔者猜想这个FLASH也有可能是烧录程序用的,一个CS8122S,这个是个功放芯片,应该没什么好看的.

然后我们切回这个芯片的背面来看看重头戏

IMG_20180207_115559.jpg

首先是蓝牙和WIFI的合体芯片88W8977,这个应该是Marvell的产品,你可以通过分析其datasheet查看其通讯协议直接通过引脚并联dump主控芯片发送过来的数据包,当然,笔者认为还是直接通过路由器嗅探来获取数据包来的方便



之后是这个产品的重头戏GM8136S芯片,非常幸运的是,这款芯片应该算是业内比较用的多的,在网上可以找到它的很多资料(不像某数字的主控啥都没有)

把他的名字在百度上一搜索就有结果了

http://www.grain-media.com/html/8136S_8135S.htm

pic_201503_8136_BD.jpg

从这里我们基本可以看出这个芯片具有的功能组成笔者初略看了一波,从这里我们基本可以看出,那个FLASH里估摸存储着某些程序,如果你有一个热风枪,把他吹下来然后dump里面的数据应该不是什么很困难.至于DDR3RAM似乎没看到,难道只使用了片上缓存?,其还支持AES DES加密,鉴于这些都是密钥对称加密,因此我们也有理由这样猜想,假如这款芯片没有使用额外的密钥不对称加密算法,我们是否有机会去拦截传输的视频数据?接下来是GM8136S的一些官网摘下来的额外数据

Feature List

Embedded Processor
• ARM® CPU core - 32-bit RISC, up to 600MHz
Memory Interface
• GM8136S: SiP 1Gb DDR
• GM8135S: SiP 512Mb DDR
• Support SPI NOR/NAND flash boot
H.264 Codec
• Support the high profile encoding
- GM8136S: 720P@60fps
- GM8135S: 720P@45fps
Video Input
• MIPI, Parallel, Sub-LVDS
- YUV x 2 for 2-channel 720P
Video Capture
• BT.656 input (up to 148.5 MHz)
• BT.1120 input (up to 148.5 MHz)
• Support 54MHz/108MHz and 72MHz/144MHz byte/frame interleave modes
Image Signal Processing
• Temporal and spatial 3D-Denoise filtering
• Support Digital-WDR
• Support WDR sensor
• Support tone mapping
• Low lux sensitivity to ISO6400
• Embedded IVS engine
Display Interface
• Built-in BT.1120 digital output
• Support composite/parallel up to FHD output
Peripherals Interface
• 10/100M Ethernet MAC
• USB 2.0 OTG
• USB 1.1 Device
• SDIO x 2
• I²S
• I²C
• GPIO
Operating Voltage
• Core: 1.1 V

• DDR: 1.5/1.8 V
• I/O: 3.3 V
Package
• 128-pin EPADLQFP

笔者还在H.264 codec上纠结了一会儿,因为包装上明明写的是1080P,笔者一开始以为是最大支持到720P/60FPS实际上并非如此,它实际支持到4k

QQ图片20180207184851.png QQ图片20180207185051.jpg

这里标的应该是最小支持到,

而video capture中的 BT.1120 input (up to 148.5 MHz)也确实表面了这款摄像头确实是1080P的

最后总结一下吧:


从功能上来说,这款摄像头家用是足够了,但是用在高度安保的某些地方,应该说漏洞还是不少的,首先并不能说是这个摄像头的问题,应该说无线网络本身就存在某些干扰因素.


然后谈谈其安全问题,笔者估计想要dump这款芯片的程序应该不会太难,笔者猜想的比较担心的一点是,视频本身使用AES DES加密并无不妥,但是这个密钥是否有被安全的传输乃至于说即便使用了RSA或某种算法进行了安全传输,但使用了某些弱magic number以至于加密被攻破等问题,笔者仍然抱有无限的想象,不过小米毕竟也是个大企业,相信这些显而易见的问题应该不至于敷衍了事,最后笔者虽然没找到GM8136S的datasheet,但找到了GM8138S的,剩下的信息例如URAT0在哪,datasheet上应该都写的很清楚的.


那么,就到这里吧






本帖被以下淘专辑推荐:

发表于 2018-2-7 15:30:02
2
欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
i春秋-楚:533191896
i春秋-燕:129821314
i春秋-齐:417360103
i春秋-秦:262108018
使用道具 举报 回复
我是salf i春秋作家 从未进过后台和拿过shell i春秋签约作者 春秋文阁
板凳
发表于 2018-2-7 15:31:45
3
个人博客 https://blue-bird1.github.io/
使用道具 举报 回复
发表于 2018-2-7 15:32:59
表姐这篇文章真是妙妙妙!!!,语言朴实,文笔清新,情感丰富,形象饱满,条理清晰,文采斐然,结构层次分明,跌宕起伏,描写生动,引人入胜,艺术感染力强,一个‘1’字真是画龙点睛,寓意深刻,发人深思,意味悠长!
使用道具 举报 回复
发表于 2018-2-7 15:33:36
4
使用道具 举报 回复
发表于 2018-2-8 10:52:09
感谢分享
使用道具 举报 回复
发表于 2018-2-8 13:11:28
虽然是看不懂,但还是都看完了
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册