逆向东芝 FlashAir SD 存储卡允许研究人员执行远程代码，并且可以允许他添加其他恶意或实用功能，在今年的拉斯维加斯，像许多优秀的黑客一样，研究员 Guillaume Valadon 带来了他的精彩议题。

事实上，当 ANSSI 的网络安全实验室负责人尝试将一个位于他家周围的廉价无线数码相机变成带有东芝 FlashAir SD 存储卡的无线数码相机时，他应该完全不知道自己将要进行一场为期三年的冒险。

Valadon 表示，

这件事成了我业余时间一直在做的事情，我开始努力的去掌握如何对硬件进行逆向说。

最终，Valadon 节省了无线数码相机（约 30 美元）的成本，并成就了自己这个精彩的议题。

在周三举行的黑帽会议上，Valadon 演示了他如何攻击东芝 FlashAir SD 存储卡并能够在卡上执行代码。他指出，挑战在于这个卡片其实是一个虚拟的黑盒。卡上运行的身份不明的操作系统，神秘的固件和定制的不明东芝芯片组都让他无所适从。

被 Valadon 攻击的东芝 FlashAir 卡是运行固件 V.01 的 2015 款 W-03 版本，现在仍然可以以 25 美元左右的价格广泛使用。但自那以后，东芝在 2017 年推出了 W-04 型号，该型号并未被攻破。

Valadon 阐述道：

首先，我需要一个二进制文件来分析，然后我需要找到 CPU 架构，操作系统，最后是执行向量，。执行向量或 payload 可以是从缓冲区溢出到未记录的命令（例如 "print a calc."）的任何内容。

为了完成对卡的拆分，Valadon 表示他使用了大约八个开源工具和工具集，如 Sibyl，flasher 和 R2Scapy，这些是基于 python 的交互式数据包操作程序。

在打开卡片并检查组件之后，他开始精心搜索公开的组件文档，并使用工具来梳理操作系统生成的错误字符串。

Valadon 说，

许多错误字符串具有相同的格式。这个引起了我的注意：它是三个字母，下划线，三个字母，一个错误代码和一个函数名称。’ wup_tsk ’看起来像是一个很有希望的线索。

Valadon 继续讲到，

在互联网上搜索 "wup_tsk" 并引用到网站在任务同步功能上。" 搜索上显示 wup_tsk 用于唤醒名为 T-Kernel 的系统操作中的任务，。T-Kernel 是 TRON 系列的一部分 – 实时操作系统 Nucleus。

使用类似的逆向工程测量技术，Valadon 找到了卡的 CPU，即东芝媒体嵌入式处理器（MeP）。

一旦他准确的识别出系统固件，操作系统和组件，PoC 漏洞就可以继续进行。

我发现该卡正在使用安全社区似乎不知道的操作系统和芯片架构，我感到非常惊讶。首先，我想寻找远程漏洞。我对该卡的 802.11 组件非常感兴趣。

Valadon 最终针对该卡的 DHCP，HTTP 和 802.11 网络中的漏洞进行了攻击。然后他破解了卡片并用自己的手动更新了固件。从那里可以在卡的 WiFi 范围附近远程执行代码。

这是已知的第一次对 FlashAir 上的本机代码执行。此外，这可能是嵌入式系统复杂分析的典型例子。

对于 Valadon，他想做的其实只是允许他在他的无线相框上无线显示图像。但对于其他黑客来说，可能会添加很多应用程序，这些应用程序可能包括禁止摄影师在一些环境中拍照时的动态自动加密功能。或者可能将存储在相机上的图像发送给第三方。