Jooki: Explotación de Vulnerabilidades en un Reproductor de Audio 'Muerto'
Tras la quiebra de su fabricante, muchos reproductores de audio Jooki para niños quedaron inutilizables. Esta publicación detalla la ingeniería inversa del firmware de Jooki, revelando múltiples vulnerabilidades, incluyendo una puerta trasera y ejecución remota de código. El autor analiza el firmware, el sistema de archivos, el mecanismo de actualización OTA Mender y la interfaz del servidor HTTP, demostrando cómo obtener el control del dispositivo. Se muestran métodos para explotar estas vulnerabilidades para lograr la ejecución remota de código modificando archivos de configuración, utilizando flags y aprovechando el mecanismo de actualización OTA. También se incluye un llamado al creador para que publique el código fuente de su creación.
Leer más