Vọc Xiaomi - Yi Sport Camera

[Update] Hiện tại XaoMi đã update Firmware + MobileApp cho phép đổi mật khẩu default của YiCam rồi, bài này giờ  #Just4Fun :3

Mới mua cái Xiaomi - Yi Sport Camera về, nói chung về chất lượng hình ảnh so với giá tiền đối với mình thì khá tuyệt :D

Thiết bị có thể được điều khiển, cấu hình bởi Android App sử dụng kết nối Wireless:

Yi Mobile App <----> [wireless] <---> Yi Camera (WiFi Hotspot)

Yi Camera có IP tĩnh là 192.168.42.1, Yi Mobile App sẽ Scan các Wireless có SSID với tiền tố YDXJ_ cộng thêm 7 số nguyên. Thử connect từ HotSpot từ Laptop được yêu cầu nhập Password. Vậy passphare sẽ nằm trong Mobile App (hiển nhiên :3).

Dùng Jadx để decompile Yi App. Code được obfuscate dạng đổi tên Class, function, variable,.. thành tên không có nghĩa. Nhìn mớ code trace theo chắc khá mất thời gian.

Tự nhiên hứng lên grep thử IP trong source:
Thấy tùm lum IP, nhiều Public IP móc qua bên nước láng giềng không biết làm gì, thôi tạm bỏ qua, quên mất đang tìm Passphare Wireless :D

Bắt đầu đoán mò, grep các đoạn code có từ 'password' trong source và cầu nguyện, thấy đoạn này có vẻ khả nghi:


Đoạn trên tạo ra một SQLite DB trên Mobile để chứa các thông tin như SSID, MAC_ADDRESS, PASSWORD
Thử tìm các DB của YiApp nằm trong Mobile

tập tin device_db có vẻ khả nghi

theo như cấu trúc DB là MAC_ADDRESS | SSID | PASSWORD, ta tiếp tục đoán mò password sẽ là 1234567890. Thử connect lại trên Laptop, nhập 1234567890 connect thành công. Ngon rồi!

Dùng nmap scan sơ sơ thử

Trên này có Web Server trỏ đến phân vùng lưu trữ Video, Images trên thẻ nhớ của Camera, khá thú vị :3


Không thấy port phổ biến nào cho console access. Đang bận nên search nhanh Google, ra cái cách mở Telnet Server (https://dashcamtalk.com/forum/threads/xiaomi-console-access.11198/)

Tắt Camera, lấy thẻ nhớ ra, tạo một tập tin rỗng tên enable_info_display.script tại thư mục gốc của thẻ nhớ, gắn thẻ nhớ lại và mở lại Camera. Tiếp tục cầu nguyện và dùng nmap scan thêm lần nữa


Telnet đã mở, nếu mình biết gã nào tạo ra đường này để vào Camera chắc phải ôm hun 1 cái để cảm ơn.

Tiếp tục thử Telnet đến Camera, tài khoản root, mật khẩu rỗng, lolz

Linux mọi nơi <3

Check mount

Check netstat

Trong /tmp có vẻ là thư mục làm việc chính, chứa các thứ cấu hình của Camera
Ai muốn secure cái Wifi-HostSpot của Camera có thể thay đổi SSID, Passhare tại tập tin /tmp/hostapd.conf (Nhớ Update lại trên DB của Android App với Pack lại mấy chô Hardcode Passphare, cái này chưa thử :D)


 Thử Google một tí về Hack Yi Cam nó ra được link github https://github.com/PJanisio/Xiaomi_Yi_autoexec

Bác này viết sẵn một loạt bash script để update thêm tính năng cho Yi Camera, cấu hình lại các tham số theo nhu cầu, có thể khiến Yi Camera có thể chụp phơi sáng, chức năng lost-camera cho phép chép thông tin cá nhân vào thẻ nhớ mỗi lần khởi động để ai có "nhặt nhầm" thì gửi lại.... Cool guys!

Vọc lát hết Pin, chắc đây là một phương pháp giảm Security Risk bằng cách xài Pin dỏm để các Newbie không thể nào vọc phá được lâu được :v. Thôi bữa khác tính tiếp :3

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

CVE-2019-12839: Lỗ hổng thực thi mã lệnh tùy ý trên OrangeHRM CMS

[Steganography] Kỹ thuật che dấu thông tin - Phần 2

PHP Race Condition Vulnerability Example