Ботнет на колесах: массовый взлом видеорегистраторов

Видеорегистраторы, популярные в одних странах и полностью запрещенные в других, обычно воспринимаются как страховка на случай ДТП и спорных ситуаций на дорогах. Но у сингапурских исследователей кибербезопасности свое, особое мнение. Видеорегистраторы показались им подходящей основой для… системы массовой слежки, которая к тому же может расширяться автоматически. Детали исследования были представлены на конференции Security Analyst Summit 2025.

«Шпионские» возможности видеорегистратора

Как вообще применить для слежки устройство, не подключенное к Интернету? Большинство видеорегистраторов действительно не оснащены SIM-картой и связью 4G/5G, зато даже недорогие модели имеют Wi-Fi. По Wi-Fi к устройству может подключаться смартфон водителя, чтобы через мобильное приложение провести настройки, скачать видео на телефон и так далее. Как выяснилось, многие регистраторы допускают обход аутентификации и к ним можно подключиться с чужого устройства, а затем скачать сохраненные данные.

Атакующему есть чем поживиться. Во-первых, это видео высокого разрешения, на котором четко видны номерные и дорожные знаки. Некоторые модели видеорегистраторов также снимают видео внутри машины, есть и модели с широкоугольными камерами или камерами заднего вида. Во-вторых, видеорегистраторы могут записывать звуки в машине — в первую очередь разговоры. В-третьих, видео- и звукозаписи снабжены точным временем создания и GPS-метками.

Поэтому, скачав данные с регистратора, можно проследить за передвижениями владельца, получить изображения мест, где он ездит и паркуется, узнать темы бесед в машине и зачастую получить фото и видео с пассажирами машины или людьми, которые находятся рядом с авто. Конечно, для целевой слежки нужно будет взломать конкретный видеорегистратор, а для массовой — скомпрометировать большое количество устройств.

Векторы атаки на видеорегистратор

Исследователи начали свои эксперименты с популярным видеорегистратором Thinkware, но быстро расширили исследование на две дюжины моделей полутора десятка брендов.

Выяснилось, что в их работе есть много общего. Обычно для первоначального соединения нужно подключиться к точке доступа Wi-Fi, которую создает видеорегистратор, используя указанные в инструкции имя точки доступа и пароль.

В большинстве проверенных моделей пароль фиксированный, поэтому установить связь можно со значительным процентом устройств. Дальше хакер получает доступ к привычному по другим IoT-гаджетам сочетанию: процессор ARM и облегченная версия Linux. У атакующего есть целый арсенал проверенных трюков для обхода аутентификации, которую внедрил производитель, чтобы отличать владельца от посторонних. Как правило срабатывает хотя бы один из следующих подходов.

• Считывание сохраненных файлов напрямую. Пока микроскопический веб-сервер в видеорегистраторе ждет, чтобы клиент послал ему пароль на «официальной» точке входа, пиратские запросы на прямую загрузку видеофайлов успешно проходят безо всякой проверки пароля.
• Подделка MAC-адреса. Многие регистраторы проверяют владельца по специальному идентификатору Wi-Fi-адаптера на смартфоне — MAC-адресу. Злоумышленник может сначала подслушать его в радиоэфире, а затем подделать в своих запросах, и этого оказывается достаточно для установки соединения.
• Воспроизведение всего трафика аутентификации (replay attack). Просто записав весь обмен данными по Wi-Fi между видеорегистратором и смартфоном владельца в процессе подключения, можно в дальнейшем воспроизвести эту запись — и получить нужные права.

Большинство онлайн-сервисов защищены от этих атак очень давно. Но во встраиваемой технике то и дело обнаруживаются эти классические уязвимости из прошлого.

Чтобы быстро просматривать записанные файлы на экране смартфона и даже напрямую смотреть, что видит камера регистратора в данную секунду, на видеорегистраторе обычно запущены еще несколько серверов, подобных тем, что используются в «большом Интернете». По FTP можно быстро загрузить файлы с регистратора, по RTSP посмотреть живое видео, и так далее. В теории эти серверы закрыты от посторонних свой собственной парольной защитой. На практике обычно используется фиксированный пароль, одинаковый для всех экземпляров устройства, и его легко извлечь из мобильного приложения производителя.

Массовая уязвимость видеорегистраторов

Почему исследователи считают, что регистраторы можно взламывать массово? Есть два фактора.

• Всего несколько популярных моделей регистраторов занимают львиную долю рынка. Например, в Сингапуре почти половину продаваемых регистраторов выпускает бренд IMAKE.
• Разные модели имеют очень схожую архитектуру и программное обеспечение. Причем это могут быть модели разных производителей. Просто они заказывают компоненты и ПО у одного и того же разработчика.

Благодаря этому вредоносный код, перебирающий несколько десятков паролей и три-четыре способа атаки, может успешно компрометировать примерно четверть видеорегистраторов в реальных городских условиях.

В первоначальной версии атаки исследователи моделировали ее «полустационарную» версию, в которой злоумышленник с компьютером находится в месте, где машины останавливаются на несколько минут, например на заправке или в автомобильном кафе (drive-through). Но дальнейшие исследования привели их к выводу, что все необходимое для атаки можно запускать прямо на видеорегистраторе! Им удалось разработать код, действующий на манер компьютерного червя — инфицированный видеорегистратор пытается соединиться с видеорегистраторами в соседних машинах и скомпрометировать их на ходу. Это возможно, если машины двигаются с одинаковой скоростью, например в пробке.

От массовой компрометации к массовой слежке

Авторы исследования не ограничились возможностью взломать видеорегистратор — они разработали целую систему сбора и анализа скачанной информации. Централизованно собрать информацию со взломанных регистраторов можно двумя способами: либо прямо на компьютер злоумышленников, находящийся на гипотетической заправке, либо эксплуатируя облачные функции некоторых регистраторов.

Существуют модели видеорегистраторов, оснащенные модулем LTE — с них вредоносный код может отправлять информацию напрямую владельцу ботнета. Но есть вариант и для более простых моделей. Регистратор может передавать данные на смартфон для загрузки в облако производителя либо передавать данные другим взломанным регистраторам, которые могут переправить ее атакующему.

Иногда недостаточная защита облачных хранилищ позволяет извлекать данные напрямую, особенно если атакующему известны хранящиеся в камере идентификаторы пользователя.

Для анализа собранной информации комбинируются несколько способов:

• извлечение меток GPS из фото и видео;
• анализ видео для детектирования дорожных указателей и распознавания текстов, чтобы понять, какие улицы и достопримечательности упомянуты;
• Shazam для определения музыки, играющей в авто;
• модели OpenAI для превращения аудио в текст и составления краткого резюме всех разговоров в салоне.

В результате получается краткое информативное резюме о каждой поездке: маршрут, время поездки, темы обсуждения. На первый взгляд, ценность этих данных снижается тем, что они анонимны, но в реальности деанонимизация не вызывает проблем. Иногда в настройках камеры прямо прописаны имя владельца или номер автомобиля, да и по комбинации часто посещаемых мест (дом-работа) несложно установить владельца регистратора.

Выводы и способы защиты

О том, что видеорегистраторы действительно могут быть ценным звеном глобальной системы слежки и видеонаблюдения, свидетельствует недавно обнародованная информация о партнерстве между Flock и Nexar. Первая компания оперирует крупнейшей в США системой камер, распознающих номерные знаки для полиции, а вторая — популярной сетью видеорегистраторов, напрямую подключенных к облаку Nexar для создания «общественного зрения» (crowdsourced vision).

Но массовый взлом видеорегистраторов может привести к значительно более агрессивному сбору данных и злоупотреблению ими в преступных и мошеннических схемах. Противостоять этой угрозе должны в первую очередь производители, применяя методики безопасной разработки (конструктивная кибербезопасность), используя надежную криптографию и другие технические меры защиты. Возможности самозащиты для водителей ограничены и сильно зависят от настроек конкретной модели видеорегистратора. Мы приводим их по убыванию радикальности.

• Купить модель, не оснащенную LTE, Wi-Fi и Bluetooth вообще.
• Полностью отключить Wi-Fi, Bluetooth и другие средства связи на видеорегистраторе.
• Отключить запись звука регистратором, в идеале — физически отключить микрофон.
• Отключить опцию «контроль парковки». Она поддерживает видеорегистратор в активном состоянии все время, и тот записывает возможные ДТП, когда автомобиль припаркован. Но в этом режиме регистратор разряжает аккумулятор машины и, весьма вероятно, постоянно поддерживает Wi-Fi включенным, увеличивая риск взлома.
• Проверить настройки Wi-Fi, доступные у видеорегистратора:
  • если есть автоотключение Wi-Fi после определенного периода, установить минимальный период;
  • если есть возможность сменить пароль Wi-Fi или имя сети, обязательно это сделать;
  • если есть возможность не транслировать имя сети (опции Hidden SSID, Wi-Fi broadcast off, Stealth mode) — активировать эту опцию.
• Регулярно обновлять ПО регистратора — как прошивку устройства, так и ПО на смартфоне. Это увеличивает шансы на то, что уязвимости, подобные найденным в исследовании, будут устранены в новой версии прошивки.

Современные автомобили подвержены и другим кибератакам:

• Ломаем машинки: киберугрозы для вашего авто
• Взлом автомобиля через Bluetooth
• Как можно (было) следить за миллионами автомобилей Kia
• Я знаю, как вы водили прошлым летом
• Шпион на колесах: как автопроизводители собирают и перепродают информацию