走进科学:揭秘如何入侵电视机

  [从可恶的广告开始]
 
  前几天家里买了台新创维电视,安装好兴冲冲的开机,突然蹦出的广告让我心凉了半截,进了安卓系统,发现啥都没有,不能自己装软件,只能从那只有不到20款软件的破商店里下载,更可恶的是这广告还两天一换,后台自动升级,这是为什么呢?我买的电视,凭啥你就能远程控制随便往里放广告?电视步入了智能时代,一大堆捆绑的流氓软件和广告也从手机和PC转战到了电视平台,所以,让垃圾们都见鬼去吧!我要开始折腾了!
 
  [把电视当成平板]
 
  什么叫智能电视?实际上这只是唬人的名字,智能电视就是带超大屏幕的安卓平板,只是这平板锁住了70%的功能,而且没有刷机用的连接接口,怎么办呢?只能从网络上想办法了。
 
  具体思路就是先用ADB远程连接,然后想办法root,adb要远程调试,需要电视上打开adbd服务,通过google得知大部分创维电视的adbd默认是打开的,或者可以从工厂设置里打开,不管怎么样,我先碰碰运气吧:
 
  看来有门,打开命令行,用adb试试:
 
  adb connect 192.168.0.100:5555
 
  connected to 192.168.0.100:5555
 
  adb remount
 
  remount succeeded
 
  居然成功了,下一步登录进去看看,本想着如何root可能是个难题,可是当强大的#号出现在我面前时,我和我的小伙伴们全都惊呆了!
 
  电视的安卓系统居然是直接以root权限运行的,我对创维公司已经无语了,接下来一切好办,开两个shell窗口,一个登录进安卓系统,另一个用adb连接:
 
  adb push su /system/xbin
 
  pm set-install-location 0
 
  adb install superuser.apk
 
  adb install rootexplorer.apk
 
  对于一个一直以root权限运行的系统来说,上面第一步似乎有些多余,只是习惯性的传了一个,创维的广告一般都在开机时出现,那么它的原理应该是后台有一个守护服务,联网后不断的连接远程服务器,如果有更新则下载并替换电视的开机界面。
 
  安卓系统的开机界面存在两个位置,开机画面是一个zip文件,一个位置在/data/local/bootanimation.zip,另一个在/system/media/bootanimation.zip,开机后首先读取第一个,如果第一个不存在或无法读取,则载入第二个,那么我先来看看第一个:
 
  adb pull /data/local/bootanimation.zip
 
  下载后解压,猫腻果然在这里:
 
  第二个位置里的画面是安卓自带的没有被改变,这里顺便说一说安卓系统开机画
 
  面的格式,bootanimation.zip里面压缩了一个文件夹和一个desc.txt文本文件,文件夹里可以是一张图,也可以是一系列动态图片以实现开机动画,desc.txt用来告诉系统文件夹的名称、内容和播放方式,比如:
 
  p 1 10 images
 
  p是一个分隔符,1表示播放一遍,10表示播放完了停顿10帧的时间,images则是文件夹的名称。知道了这些之后,要去掉广告,只需替换文件夹里的图片
 
  为我们自己喜欢的,然后压缩上传,开机界面就会改变,或者直接删除这个文件,系统会在/system/media/bootanimation.zip读取默认开机界面。
 
  [童鞋,别高兴的太早了]
 
  事情没那么简单,前面说了,创维广告是有守护进程的,你按上面说的做,过几天广告还会被自动下载的,ps进程列表发现,有个叫skyupdate的东东,不用问,一定在/system/app下有个叫skyupdate.apk的东西,有人说了,既然root了,把它删了不就完了?是滴,我确实这样做了,不过过了两天它又出现了(我可以骂人吗?),这TMD守护进程居然也有一个守护进程。
 
  所以,还得靠万恶的sniffer,嗅探出该死的广告服务器地址,把它屏蔽掉,才能一了百了。
 
  安卓实际就是linux,那么自然有强大的tcpdump:
 
  uid=0 gid=0@android:/ # tcpdump host 192.168.0.100 and not 192.168.0.103
 
  上面的192.168.0.100是电视机的ip,192.168.0.103是运行adb的本机ip,最好刚开机,什么也别运行就开始嗅探,这样可以避免与其他联网程序混淆:
 
  猫腻被揪到了,利用强大的iptables,写个简单的shell:
 
  #! /system/bin/sh
 
  iptables -I INPUT -s 223.6.253.51 -j DROP
 
  iptables -I OUTPUT -s 223.6.253.51 -j DROP
 
  保存为adblock.sh,放在/system/etc下,赋予权限:
 
  uid=0 gid=0@android:/system/etc # sh adblock.sh
 
  uid=0 gid=0@android:/system/etc # chmod 777 adblock.sh
 
  [还没完呢,麻烦事还有]
 
  现在的问题是,如何让这段脚本开机自动运行,有人说了,有三种方法:
 
  1 修改init.rc,添加一行service即可。
 
  说这话的人纯属没长脑子,init.rc只是ramdisk.img在内存中的镜像而已,每次修改后开机会重新复原,唯一改动的办法是修改固件后重新刷机,你想让电视变砖吗?
 
  2 修改/system/etc/install-recovery.sh,把adblock.sh的内容添加进去。
 
  这招在其他安卓平板上可行,可TMD创维在init.rc里把install-recovery.sh给注释掉了,此路不通也。
 
  3 把shell脚本放在/system/etc/init.d目录下,开机就会自动运行。
 
  你以为这是三星手机啊!这个目录根本就不存在!这个功能早就被创维扣掉了。
 
  咋办?只有两个办法了:
 
  方法一:这个简单,启用路由器自带的防火墙,把这嗅探出的ip加入屏蔽规则就成了。
 
  方法二:自己写一个app,用来调用adblock.sh,把它做成开机自动运行。
 
  由于最近懒得要死,所以我最后选择了方法一,但方法二的代码我也给出一段,虽然没测试,不过估计没啥大问题:
 
  Runtime runtime = Runtime.getRuntime();
 
  Process proc = runtime.exec(“./system/etc/adblock.sh”);
 
  try {
 
  if (proc.waitFor() != 0) {
 
  System.err.println( proc.exitValue());
 
  }
 
  } catch (InterruptedException e) {
 
  System.err.println(e);
 
  }
 
  在app的AndroidManifest.xml的application标签内加入:
 
  <receiver android:enabled="true" android:name=".BootBroadcastReceiver"
 
  android:permission="android.permission.RECEIVE_BOOT_COMPLETED">
 
  <intent-filter>
 
  <action android:name="android.intent.action.BOOT_COMPLETED" />
 
  <category android:name="android.intent.category.DEFAULT" />
 
  </intent-filter>
 
  </receiver>
 
  添加如下权限:
 
  <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
 
  再添加一个BootBroadcastReceiver类:
 
  import android.content.BroadcastReceiver;
 
  import android.content.Context;
 
  import android.content.Intent;
 
  public class BootBroadcastReceiver extends BroadcastReceiver {
 
  static final String ACTION = "android.intent.action.BOOT_COMPLETED";
 
  @Override
 
  public void onReceive(Context context, Intent intent) {
 
  if (intent.getAction().equals(ACTION)) {
 
  Intent mainActivityIntent = new Intent(context, MyActivity.class);
 
  mainActivityIntent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
 
  context.startActivity(mainActivityIntent);
 
  }
 
  }
 
  }
 
  各位自己去试吧,我是懒得再研究下去了。
 
  [结束]
 
  用了一周,开机界面一直没变过,看来是成功了,我又装了一大堆的app,现在电视的界面已经和平板没多大区别了.
 
  [补充]
 
  经过我卖电视机的远方亲戚的同意,对其店里的所有创维智能电视进行检测,全部都可以用root权限远程登录,也就是说,一台笔记本可以轻易入侵同一无线网内的所有电视机,看来,电视病毒泛滥传播的时代已经不远,电视黑客也即将出现,日后还有手表、洗衣机、空调、音响……一切皆是智能,一切皆可入侵,下图中所现的场景,也许会成为现实

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:Gartner:2013年全球安全软件市场增长4.9%