HackPwn：TCL智能洗衣机破解细节分析

　　上周结束的Hackpwn上，黑客们脑洞大开，破解了比亚迪汽车、小米手环、乐小宝、长虹电视、TCL洗衣机和九阳豆浆机等一系列最新的智能硬件，据黑客介绍，TCL是一家把家门“砌死”的企业，由于得到了将要被现场破解的消息，在HackPwn前一天，TCL就已经关闭了云服务器，在黑客童鞋以消费者身份苦苦哀求了一晚上以后，终于恢复服务，但是在Hackpwn当天又关闭了，又关闭了……

　　TCL的洗衣机在云端可以相互识别。但正常来说，一台洗衣机是无法给另一台洗衣机下命令的。不过，黑客团队发现了一招制敌妙计，那就是：把命令中禁止发送的字符换成小写字母，换成小写字母，换成小写字母。(重要的事情说三遍)

　　没错，绕过系统控制就是这么简单。通过此种方法可以通过模仿云端的控制器“京东微联”向任何一台洗衣机下达指令，指令可以精确到温度和转速。

　　所以，当你回家发现洗衣机已经以90度的设定温度，以1200转每分钟的转速转了一天的时候，请不要太惊讶哦，你的洗衣机只不过是“认贼作父”了。

　　通过京东微联手机APP，我们可以查看洗衣机的状态，可以选择多种洗衣模式，调整洗衣机的转速、洗衣的温度等参数。可以实现在任何地点只要洗衣机能接入互联网都可以控制。

　　对于洗衣机的攻击点分析

　　使用TCP智能洗衣机时需要对洗衣机进行配置，才能够接入网络，从而使用手机客户端进行远程控制。TCL洗衣机使用的是”京东微联”物联网平台，京东微联是京东旗下针对智能硬件产品专门推出的一项云服务，致力于打造一个多方共赢的智能硬件生态链。

　　我们可以通过简单的配置将设备通过wifi接入互联网，配置成功后就可以使用京东微联手机客户端来反向控制洗衣机，达到洗衣机设备能够通过手机远程控制的功能，这也就是为什么说这个型号的洗衣机是”智能洗衣机”的原因了。

　　通过对洗衣机上线流程的配置过程中，可以了解到手机下发控制指令的整个流程如下图：

　　1.手机首先使用京东账号进行认证。

　　2.认证成功后添加了设备和账号的绑定关系。

　　3.手机下发设备控制指令给京东智能云。

　　4.京东智能云在把控制指令转发给第三方平台。

　　5.第三方平台将指令转发到设备，由设备来执行。

　　6.设备执行成功后将状态返回给第三方平台，第三方平台在转发至京东智能云，反馈到手机APP中。

　　通过分析验证，在京东智能云和手机之间。都具备高强度的加密传输和身份认证的方案，在进行分析过程中，可以发现京东智能云在安全方面还是考虑的比较多的。在短时间要攻破京东智能云平台比较难。所以我把攻击点定位在第三方平台和设备之间。

　　模糊测试

　　首先使用360wifi将洗衣机接入到网络中，使用“京东微联”手机APP触发对洗衣机的控制，同时对无线网卡进行抓包分析如下：

　　洗衣机和第三方平台之间使用的是XMPP协议实现会话的控制和长连接保持在线的。XMPP一般是用来实现聊天工具的一个框架协议。因为智能硬件需要保持长时间在线的会话并且要接收消息，所以一些厂商会改用一些聊天工具来实现。图中标记的数据内容是洗衣机作为客户端登陆成功的状态。使用的登陆数据是用base64进行编码的。

　　将登陆数据进行解码后发现第一个字段是设备的ID,第二个字段是密码。也就是说洗衣机使用的是这段用户名和密码，登陆云服务器。然后等待京东云平台下发控制指令的。

　　通过分析数据包可以发现洗衣机主要使用TCP、UDP、XMPP/XML三种协议,通过对数据包内容观察，发现第三方平台到洗衣机之间的数据包没有进行传输加密，可以清晰的看到控制指令的格式和内容。

　　登陆测试

　　为了更直观的测试漏洞，选用了一款带有XMPP协议聊天功能的软件。来模拟洗衣机登陆。

　　使用从数据包分析出来的用户名和密码，登陆第三方云服务器。发现成功的用洗衣机账号登陆成功。

　　获取控制指令

　　模拟洗衣机账号登陆成功后，模拟在线的洗衣机接收控制指令。这时使用京东微联手机APP给在线的洗衣机发送一些控制指令。

[1] [2] 下一页

原文地址:https://hack.77169.com/201508/209267.shtm