IOT设备固件介绍及提取
前言
在常见的 IOT 产品中,一般采用嵌入式 linux 系统开发,对芯片分析主要目的之一就是获取到硬件系统的固件,从固件中分析可能存在的安全风险。 固件一般存储在 ROM 中,ROM 是只读存储器(Read-Only Memory)的简称,是一种只能读出事先所存数据的固态半导体存储器。其特性是一旦储存资料就无法再将之改变或删除。通常用在不需经常变更资料的电子或电脑系统中,并且资料不会因为电源关闭而消失。 常见的存储芯片按照存储读取方式和制作工艺不同,可以分为: ROM、PROM、FLASH-ROM。 在大部分IOT产品中多采用 flash 芯片作为存储器,提取固件主要也是通过读取 flash 芯片
芯片介绍
Flash芯片
FLASH ROM 属于真正的单电压芯片,在使用上很类似 EEPROM,因此,有些书籍上便把 FLASH ROM 作为 EEPROM 的一种。事实上,二者还是有差别的。FLASH ROM在擦除时,也要执行专用的刷新程序,但是在删除资料时,并非以 Byte 为基本单位,而是以 Sector(又称 Block)为最小单位,Sector 的大小随厂商的不同而有所不同;只有在写入时,才以 Byte 为最小单位写入;FLASH ROM 芯片的读和写操作都是在单电压下进行,不需跳线,只利用专用程序即可方便地修改其内容;FLASH ROM的存储容量普遍大于EEPROM,约为 512K 到至 8M,由于大批量生产,价格也比较合适,很适合用来存放程序码,近年来已逐渐取代了 EEPROM,广泛用于主板的 BIOS ROM,也是 CIH 攻击的主要目标。
根据技术方式不同可分为: IIC EEPROM、SPI NorFlash 、CFI Flash、Parallel NandFlash、SPI NandFlash、eMMC Flash、UFS2.0 等。下面对芯片分类进行介绍。
1、IICEEPROM
IICEEPROM,采用的是IIC通信协议。IIC通信协议具有的特点:简单的两条总线线路,一条串行数据线(SDA),一条串行时钟线(SCL);串行半双工通信模式的8位双向数据传输,位速率标准模式下可达100Kbit/s;是一种电可擦除可编程只读存储器,掉电后数据不丢失,由于芯片能够支持单字节擦写,且支持擦除的次数非常之多,一个地址位可重复擦写的理论值为100万次,常用芯片型号有AT24C02、FM24C02、CAT24C02等,其常见的封装多为DIP8,SOP8,TSSOP8等。
2、SPINorFlash
SPINorFlash,采用的是SPI通信协议。有4线(时钟,两个数据线,片选线)或者3线(时钟,两个数据线)通信接口,由于它有两个数据线能实现全双工通信,因此比IIC通信协议的IICEEPROM的读写速度上要快很多。
NorFlash在擦写次数上远远达不到IICEEPROM,并且由于NOR技术FlashMemory的擦除和编程速度较慢,块尺寸又较大,因此擦除和编程操作所花费的时间会很长;但SPINorFlash接口简单,使用的引脚少,易于连接,操作方便,并且可以在芯片上直接运行代码,其稳定性出色,传输速率高,在小容量时具有很高的性价比,这使其很适合应于嵌入式系统中作为FLASHROM,所以在市场的占用率非常高。
常见到的S25FL128、MX25L1605、W25Q64等型号都是SPINorFlash,其常见的封装多为SOP8,SOP16,WSON8,US0N8,QFN8、BGA24等。
3、ParallelNorFalsh(CFIFlash)
ParallelNorFalsh,也叫做并行NorFlash,采用的Parallel接口通信协议。拥有独立的数据线和地址总线,它同样继承了NOR技术FlashMemory的所有特点;由于采用了Parallel接口,ParallelNorFalsh相对于SPINorFlash,支持的容量更大,读写的速度更快,但是由于占用的地址线和数据线太多,在电路电子设计上会占用很多资源。
常见到的S29GL128、MX29GL512、SST39VF020等型号都是ParallelNorFlash,其常见的封装多为TSSOP32、TSOP48、BGA64,PLCC32等。
4、ParallelNandFlash
ParallelNandFlash同样采用了Parallel接口通信协议,NandFlash在工艺制程方面分有三种类型:SLC、MLC、TLC。
对比ParallelNorFalsh,NandFlash在擦除、读写方面,速度快,使用擦写次数更多,并且它强调更高的性能,更低的成本,更小的体积,更大的容量,更长的使用寿命。这使NandFlash很擅于存储纯资料或数据等,在嵌入式系统中用来支持文件系统。其主要用来数据存储,大部分的U盘都是使用NandFlash,当前NandFlash在嵌入式产品中应用仍然极为广泛,因此坏块管理、掉电保护等措施就需要依赖NandFlash使用厂家通过软件进行完善。
常见到的S34ML01G100、MX30LF2G18AC、MT29F4G08ABADA等型号都是ParallelNandFlash,其常见的封装多为TSOP48、BGA63、BGA107,BGA137等。
5、SPINandFlash
SPINandFlash,采用了SPINorFlash一样的SPI的通信协议,在读写的速度上没什么区别,但在存储结构上却采用了与ParallelNandFlash相同的结构,所以SPInand相对于SPInorFlash具有擦写的次数多,擦写速度快的优势,但是在使用以及使用过程中会同样跟ParallelNandFlash一样会出现坏块,因此,也需要做特殊坏块处理才能使用。
SPINandFlash相对比ParallelNandFlash还有一个重要的特点,那就是芯片自己有内部ECC纠错模块,用户无需再使用ECC算法计算纠错,用户可以在系统应用当中可以简化代码,简单操作。
常见到的W25N01GVZEIG、GD5F4GQ4UBYIG、F50L1G41A等型号都是SPINandFlash,其常见的封装多为QFN8、BGA24等。
6、eMMCFlash
eMMC采用统一的MMC标准接口,自身集成MMCController,存储单元与NandFlash相同。针对Flash的特性,eMMC产品内部已经包含了Flash管理技术,包括错误探测和纠正,Flash平均擦写,坏块管理,掉电保护等技术。MMC接口速度高达每秒52MBytes,eMMC具有快速、可升级的性能,同时其接口电压可以是1.8v或者是3.3v。
eMMC由一个嵌入式存储解决方案组成,带有MMC(多媒体卡)接口、快闪存储器设备(NandFlash)及主控制器,所有都在一个小型的BGA封装,最常见的有BGA153封装;我们通常见到的KLMAG8DEDD、THGBMAG8B4JBAIM、EMMC04G-S100等型号都是eMMCFlash。eMMCFlash存储容量大,其常见的封装多为BGA153、BGA169、BGA100等。
7、UFS2.0
JEDEC在2013年9月发布了新一代的通用闪存存储器标准UFS2.0,该标准下得闪存读写速度可以高达每秒1400MB,这相当于在两秒钟内读写两个CD光盘的数据,不仅比eMMC有更巨大的优势,而且它甚至能够让电脑上使用的闪存存储介质固态硬盘也相形见绌。UFS闪存规格采用了新的标准2.0接口,它使用的是串行界面,很像PATA、SATA的转换,并且它支持全双工运行,可同时读写操作,还支持指令队列。相对之下,eMMC是半双工,读写必须分开执行,指令也是打包,在速度上就已经是略逊一筹了,而且UFS芯片不仅传输速度快,功耗也要比eMMC5.0低一半。
固件提取方法:
1、官网或联系售后索取升级包。
2、在线升级方式提取固件
3、逆向升级软件,软件内置解包和通讯算法
4、从调试接口:JTAG/SWD等方式获取固件。
5、拆flash、SD/TF卡、硬盘等,用编程器/读卡器获取固件。
6、从串口(UART)调试口获取固件。
7、通过利用网页和通讯漏洞获取固件的敏感信息。
8、用逻辑分析仪监听flash,ram获取信息。
智能设备固件存在flash里,flash一般是没有保护固件被非法读取的措施。硬件调试接口方法方便了维护客户,但有时也方便了不速之客,软件如果留一个后门是便于维护,但密码太简单的话容易被**或者猜测,或者容易让别人从固件里分析出来,所以目前部分智能设备的架构存在一定安全隐患。
摄像头固件提取
物理环境
准备工具有网络摄像头、RT809F编程器、弹跳座、电烙铁、焊锡、螺丝刀,镊子等工具,如下图:
分析工具环境
binwalk – 通过固件文件头来分析文件和文件系统
file – 用来检测是否是有效的文件和文件类型
hexdump --16进制导出工具
strings --跟hexdump类似但是可以以可读的形式展示
lzma --解压LZMA文件
提取分析步骤
首先我们使用螺丝刀,钳子等工具将摄像头外壳拆取下来,找到Flash芯片位置
通常我们在读取设备固件时,一般采用的夹具连接各种芯片,这样不会对固件和主板造成损坏,我们今天要拆的摄像头可能比较便宜,但是像大型的工控设备,一般一台都是几万到几十万,真拆坏了也很可惜的。
但是由于我们手头没有合适的工具,所以采用电洛铁滴锡的方法来拆解Flash芯片进行固件读取。
1、将电烙铁加热加上锡,对准芯片一侧上锡,此时使用镊子将上锡的一侧轻轻翘起。
2、对准芯片另一侧上锡,此时使用镊子将上锡的另一侧轻轻翘起,使用镊子轻轻夹出。
将flash芯片上残存的焊锡用电洛铁清理干净,将清理后的芯片放置于弹跳座中,需要注意的是芯片是有方向的,第一脚的地方有一个圆点,焊接或用编程器读取时,弄清芯片的方向连接RT809F编程器。
使用USB线将编程器连接至电脑并打开编程器软件,点击智能识别对flash芯片进行厂商型号识别。
如图所示,我们对拆下来的固件进行识别后可确定固件的厂商和型号。
将读取出的后缀为BIN的固件进行保存,至此固件读取完毕。
解包固件
首先利用file来检测是否是有效的文件和文件类型,file分析的结果可以告诉我们该文件是否是已知的类型,这里的结果我们可以看到仅仅是显示数据文件。
利用hexdump 工具可以让你分析文件中的每一个字节,这是非常有价值的。使用hexdump分析固件如下,把结果写入到文件中方便分析:
string可以显示文件中所有可打印的数据,
binwalk会分析二进制文件中可能的固件头或者文件系统,然后输出识别出的每个部分以及对应的偏移量,-e参数,自动把固件镜像中的所有文件都解出来:
前面我们提到了获取固件是从软件和硬件两个方面,软件方面主要是网络信息安全防护,硬件方面我们从设备调试接口和芯片拆除分析两部分来获取:
硬件调试接口方法方便了维护客户,但有时也方便了不速之客,软件如果留一个后门是便于维护,但密码太简单的话容易被**或者猜测,或者容易让别人从固件里分析出来。结论是目前部分智能设备的架构存在一定安全隐患。
智能设备固件存在flash里,flash没有保护固件被非法读取的措施。现在大多数设备的FLASH和RAM、CPU分别独立,这样是特别容易被提取固件的,拆下FLASH用编程器直接能读到flash里面的内容了。如果FLASH和RAM集成在CPU上,并且开启了加密的话这样就会比较难提取固件,也使设备更加安全。