Estamos acostumbrados a hablar de las diferentes amenazas que ponen en peligro a diario nuestros ordenadores y móviles, sin embargo, a día de hoy son otros muchos los dispositivos conectados que usamos frecuentemente. Uno de estos son las cámaras de fotos, las cuales suelen contar en la mayoría de ocasiones con conectividad bluetooth y WiFi, por lo que hace que también estén expuestas a estos peligros. Tanto es así, que han descubierto varios fallos que permiten que un atacante pueda tomar el control total de nuestra cámara de fotos e infectarnos con cualquier virus o malware.

Concretamente, estos fallos o vulnerabilidades han sido descubiertas en el protocolo de transferencia de imágenes utilizado por algunas cámaras Canon. El investigador de seguridad que ha realizado el hallazgo, fue capaz de infectar con ransomware una Canon EOS 80D a través de una conexión WiFi.

Deberías actualizar tu réflex Canon lo antes posible

Durante este proceso el investigador detectó hasta seis vulnerabilidades en el protocolo de transferencia de imágenes de este tipo de cámaras de fotos y la forma de implementar el PTP en las cámaras Canon. Para ello, lo que hizo fue analizar todos los comandos del firmware y centrarse en aquellos que reciben un búfer de entrada. Después de estudiarlos detenidamente, concluyó con la detección de seis fallos, entre los que encontramos algunos que permiten que un atacante tenga acceso no autorizado a nuestra cámara de fotos. Los fallos en cuestión son:

1. CVE-2019-5994 – Desbordamiento de búfer en SendObjectInfo (código de operación 0x100C)
2. CVE-2019-5998 – Desbordamiento de búfer en NotifyBtStatus (código de operación 0x91F9)
3. CVE-2019-5999– Desbordamiento de búfer en BLERequest (código de operación 0x914C)
4. CVE-2019-6000– Desbordamiento de búfer en SendHostInfo (opcode0x91E4)
5. CVE-2019-6001– Desbordamiento de búfer en SetAdapterBatteryReport (código de operación 0x91FD)
6. CVE-2019-5995 – Actualización silenciosa de firmware malicioso

El segundo y tercero de estos fallos se detectaron en comandos relaccionados con el Bluetooth, y a pesar de que no se puede usar una conexión inalámbrica mientras la cámara está conectada a través del USB a un ordenador, se pudo probar cómo era posible aprovechar estos fallos para ejecutar código a través de la conexión USB.

Sin embargo, esto no fue posible cuando se cambió a una conexión inalámbrica, ya que el script que trata de explotar el fallo hizo que la cámara se bloqueara. Esto hace pensar que el hecho de enviar una notificación sobre el estado del bluetooth cuando la cámara se está conectada a través de WiFi, hace que la cámara se bloquee.

Esto llevó al investigador a profundizar un poco más y encontrar otros fallos y su manera de explotarlos incluso de forma remota. Y es que descubrió un comando PTP que permite actualizaciones de forma remota, es decir, sin que el usuario tenga que realizar ninguna acción.

A través de un proceso de ingeniería inversa, fue capaz de conseguir las claves que se encargan de verificar la legitimidad del firmware y de cifrarlo, por lo tanto, se podrían utilizar para enviar una actualización maliciosa y que fuese instalada sin ningún problema de forma remota y automática cuando está conectada a una red WiFi.

Canon fue informado de estos fallos el pasado 31 de marzo por parte de Check Point y desde entonces, ha trabajado junto con Canon para resolver estos fallos y ya están disponibles algunos parches para solucionarlos. Concretamente, para los usuarios europeos, han liberado la versión 1.0.3 del firmware de Canon que corrige estos fallos.