走进科学:揭秘如何入侵电视机

2014-06-16 +8 554030人围观 ,发现 41 个不明物体 头条终端安全

[从可恶的广告开始]

    前几天家里买了台新创维电视,安装好兴冲冲的开机,突然蹦出的广告让我心凉了半截,进了安卓系统,发现啥都没有,不能自己装软件,只能从那只有不到20款软件的破商店里下载,更可恶的是这广告还两天一换,后台自动升级,这是为什么呢?我买的电视,凭啥你就能远程控制随便往里放广告?电视步入了智能时代,一大堆捆绑的流氓软件和广告也从手机和PC转战到了电视平台,所以,让垃圾们都见鬼去吧!我要开始折腾了!

[把电视当成平板] 

    什么叫智能电视?实际上这只是唬人的名字,智能电视就是带超大屏幕的安卓平板,只是这平板锁住了70%的功能,而且没有刷机用的连接接口,怎么办呢?只能从网络上想办法了。
    具体思路就是先用ADB远程连接,然后想办法root,adb要远程调试,需要电视上打开adbd服务,通过google得知大部分创维电视的adbd默认是打开的,或者可以从工厂设置里打开,不管怎么样,我先碰碰运气吧:

看来有门,打开命令行,用adb试试:

adb connect 192.168.0.100:5555
connected to 192.168.0.100:5555
adb remount
remount succeeded

居然成功了,下一步登录进去看看,本想着如何root可能是个难题,可是当强大的#号出现在我面前时,我和我的小伙伴们全都惊呆了!

    电视的安卓系统居然是直接以root权限运行的,我对创维公司已经无语了,接下来一切好办,开两个shell窗口,一个登录进安卓系统,另一个用adb连接:

adb push su /system/xbin
pm set-install-location 0
adb install superuser.apk
adb install rootexplorer.apk

    对于一个一直以root权限运行的系统来说,上面第一步似乎有些多余,只是习惯性的传了一个,创维的广告一般都在开机时出现,那么它的原理应该是后台有一个守护服务,联网后不断的连接远程服务器,如果有更新则下载并替换电视的开机界面。
    安卓系统的开机界面存在两个位置,开机画面是一个zip文件,一个位置在/data/local/bootanimation.zip,另一个在
/system/media/bootanimation.zip,开机后首先读取第一个,如果第一个不存在或无法读取,则载入第二个,那么我先来看看第一个:

adb pull /data/local/bootanimation.zip

下载后解压,猫腻果然在这里:

    第二个位置里的画面是安卓自带的没有被改变,这里顺便说一说安卓系统开机画
面的格式,bootanimation.zip里面压缩了一个文件夹和一个desc.txt文本文件,文件夹里可以是一张图,也可以是一系列动态图片以实现开机动画,desc.txt用来告诉系统文件夹的名称、内容和播放方式,比如:

p 1 10 images

    p是一个分隔符,1表示播放一遍,10表示播放完了停顿10帧的时间,images则是文件夹的名称。知道了这些之后,要去掉广告,只需替换文件夹里的图片
为我们自己喜欢的,然后压缩上传,开机界面就会改变,或者直接删除这个文件,系统会在/system/media/bootanimation.zip读取默认开机界面。

[童鞋,别高兴的太早了] 

    事情没那么简单,前面说了,创维广告是有守护进程的,你按上面说的做,过几天广告还会被自动下载的,ps进程列表发现,有个叫skyupdate的东东,不用问,一定在/system/app下有个叫skyupdate.apk的东西,有人说了,既然root了,把它删了不就完了?是滴,我确实这样做了,不过过了两天它又出现了(我可以骂人吗?),这TMD守护进程居然也有一个守护进程。
所以,还得靠万恶的sniffer,嗅探出该死的广告服务器地址,把它屏蔽掉,才能一了百了。
安卓实际就是linux,那么自然有强大的tcpdump:

uid=0 gid=0@android:/ # tcpdump host 192.168.0.100 and not 192.168.0.103

上面的192.168.0.100是电视机的ip,192.168.0.103是运行adb的本机ip,最好刚开机,什么也别运行就开始嗅探,这样可以避免与其他联网程序混淆:

猫腻被揪到了,利用强大的iptables,写个简单的shell:

#! /system/bin/sh
iptables -I INPUT -s 223.6.253.51 -j DROP 
iptables -I OUTPUT -s 223.6.253.51 -j DROP

保存为adblock.sh,放在/system/etc下,赋予权限:

uid=0 gid=0@android:/system/etc # sh adblock.sh
uid=0 gid=0@android:/system/etc # chmod 777 adblock.sh

[还没完呢,麻烦事还有]

现在的问题是,如何让这段脚本开机自动运行,有人说了,有三种方法:
1 修改init.rc,添加一行service即可。
说这话的人纯属没长脑子,init.rc只是ramdisk.img在内存中的镜像而已,每次修改后开机会重新复原,唯一改动的办法是修改固件后重新刷机,你想让电视变砖吗?
2 修改/system/etc/install-recovery.sh,把adblock.sh的内容添加进去。
这招在其他安卓平板上可行,可TMD创维在init.rc里把install-recovery.sh给注释掉了,此路不通也。
3 把shell脚本放在/system/etc/init.d目录下,开机就会自动运行。
你以为这是三星手机啊!这个目录根本就不存在!这个功能早就被创维扣掉了。
咋办?只有两个办法了:
方法一:这个简单,启用路由器自带的防火墙,把这嗅探出的ip加入屏蔽规则就成了。
方法二:自己写一个app,用来调用adblock.sh,把它做成开机自动运行。
由于最近懒得要死,所以我最后选择了方法一,但方法二的代码我也给出一段,虽然没测试,不过估计没啥大问题:

                Runtime runtime = Runtime.getRuntime();
                Process proc = runtime.exec(“./system/etc/adblock.sh”);
                try {
                        if (proc.waitFor() != 0) {
                                System.err.println( proc.exitValue());
                        }
                } catch (InterruptedException e) {
                        System.err.println(e);
                }

在app的AndroidManifest.xml的application标签内加入:

<receiver android:enabled="true" android:name=".BootBroadcastReceiver"    
        android:permission="android.permission.RECEIVE_BOOT_COMPLETED">     
        <intent-filter>     
               <action android:name="android.intent.action.BOOT_COMPLETED" />     
                <category android:name="android.intent.category.DEFAULT" />     
        </intent-filter>     
</receiver>

添加如下权限:

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />

再添加一个BootBroadcastReceiver类:

import android.content.BroadcastReceiver;
import android.content.Context;
import android.content.Intent;

public class BootBroadcastReceiver extends BroadcastReceiver {
    static final String ACTION = "android.intent.action.BOOT_COMPLETED";

    @Override
    public void onReceive(Context context, Intent intent) {
        if (intent.getAction().equals(ACTION)) {
            Intent mainActivityIntent = new Intent(context, MyActivity.class); 
            mainActivityIntent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
            context.startActivity(mainActivityIntent);
        }
    }
}

各位自己去试吧,我是懒得再研究下去了。

[结束]

    用了一周,开机界面一直没变过,看来是成功了,我又装了一大堆的app,现在电视的界面已经和平板没多大区别了.

[补充]

    经过我卖电视机的远方亲戚的同意,对其店里的所有创维智能电视进行检测,全部都可以用root权限远程登录,也就是说,一台笔记本可以轻易入侵同一无线网内的所有电视机,看来,电视病毒泛滥传播的时代已经不远,电视黑客也即将出现,日后还有手表、洗衣机、空调、音响……一切皆是智能,一切皆可入侵,下图中所现的场景,也许会成为现实:

版权声明:此文章作者为红客联盟(cnhoneker.com)攻防版区版主b41k3r所写,经b41k3r同意发到Freebuf,感谢Freebuf提供一个良好的交流平台(话说,FreeBuf公开课弄得不错,加油!)

这些评论亮了

发表评论

已有 41 条评论

取消
Loading...
css.php