Durch die Kombination mehrerer Schwachstellen gelang es einem Sicherheitsforscher, eine Canon EOS80D per WLAN mit Ransomware zu infizieren. Die Malware verschlüsselt sämtliche auf der SD-Karte gespeicherten Fotos – ohne jegliches Zutun des Kamera-Besitzers. Verhindern ließ sich die Infektion zunächst nur durch das Deaktivieren der WLAN-Schnittstelle; jetzt gibt es allerdings ein Firmware-Update von Canon, das die Schwachstellen beseitigt.

Ransomware-Angriffe auf die EOS80D in freier Wildbahn hat der Hersteller bislang noch nicht beobachtet.

DSLR wären lohnende Angriffsziele

Wie Eyal Itkin von Check Point Research während seines Vortrags im Rahmen der DEF CON 27 ausführte, sind Spiegelreflexkameras (DSLR) ideale Ransomware-Ziele: Die auf den SD-Karten gespeicherten Daten sind den Fotografen wichtig – im Falle von Profis auch finanziell relevant – und die Kamera-Besitzer sind typischerweise finanziell gut gestellt. Die Wahrscheinlichkeit, dass die Ransomware-Macher ihr Lösegeld bekommen, ist also vergleichsweise hoch.

Der Forscher hat sich daher auf die Suche nach Schwachstellen in der Firmware der Canon-Kamera gemacht und wurde gleich mehrfach fündig. Konzentriert hat er sich dabei auf die Implementierung des von allen modernen Kameras verwendeten Picture Transfer Protocols (PTP). PTP sei laut Itkin ein ideales Angriffsziel, da es gut 150 verschiedene Funktionen beherrsche, keinerlei Authentisierung oder Verschlüsselung verwende und neben USB auch über TCP/IP kommunizieren könne – und damit auch über WLAN.

Die teils aufwändige Analyse, die zum Aufspüren jedes einzelnen Bugs nötig war, dokumentiert der Forscher ausführlich in einem Blogeintrag bei Check Point. Insgesamt machte sich Itkin sechs Schwachstellen zunutze, um die Ransomware auf der Kamera zu installieren.

Im Video ist die Infektion der Kamera samt anschließender Verschlüsselung der Fotos zu sehen.



Ransomware als Kamera-Update

Die von Itkin gefundenen Bugs machen es nicht nur möglich, beliebige Firmware ohne Zutun des Kamera-Besitzers per WLAN an die DSLR zu schicken. Auch bei der Installation der per AES verschlüsselten Firmware half eine mindestens unglückliche Design-Entscheidung des Herstellers: Canon verwendet zwei symmetrische AES-Schlüssel, die sich in der Firmware finden. Einer der Schlüssel dient zum Kodieren und Dekodieren von Daten, einer zum Signieren und Verifizieren von Code. Der Forscher musste die Verschlüsselung also nicht knacken, sondern hat seine um die Ransomware-Funktionen ergänzte Firmware einfach von seiner vorhandenen Kamera signieren lassen.

Die stille Installation der Ransomware übernimmt wiederum eine PTP-Funktion. Anschließend verwendet Itkin die Canon-eigenen Befehle zur Verschlüsselung per AES, um die auf der SD-Karte gespeicherten Bilder zu kodieren.

Canon hat das Vorhandensein sämtlicher Schwachstellen in einem Sicherheitshinweis bestätigt und sie per Update geschlossen. Itkin geht allerdings davon aus, dass auch andere Canon-Modelle beziehungsweise Kameras anderer Hersteller auf ähnliche Weise angreifbar sind. Um künftige Firmware-Analysen zu beschleunigen, hat Itkin mit ThumbsUp ein als Open Source verfügbares Plug-in für den Disassembler IDA Pro bei GitHub bereitgestellt.

Um als Besitzer eines anderen Kamera-Modells nicht Opfer einer echten Ransomware-Attacke zu werden, bliebe derzeit nur das temporäre Deaktivieren von Bluetooth und Wireless LAN. (ovw)