安全研究 | 传真机的攻击面研究报告

2018 年 10 月 25 日 FreeBuf

介绍

大家一听到“传真机”这三个字，肯定觉得这种设备离自己非常远。但实际上，现在很多办公室里仍然存在着这种“远古”设备，而且在商业和法律通信等领域内仍处于广泛使用中。传真机的大部分技术都是几十年前的了，而且在过去的几年里基本没有升级过。

以前的传真机主要通过座机电话和电话线来访问，并且通过以太网来连接本地网络。但说实话，可能很多人并不了解传真机背后的通信机制。网上只有一些介绍打印机标准的文档，其实也并没有什么X用，而且我们也不准备对打印机的固件进行逆向分析。不过幸运的是，网上有很多开源（源代码可完全访问）的打印机模拟工具，而且它们还实现了很多额外功能，这就非常棒了。

大家准备好了吗？那我们开始吧！

传真模拟软件

传真机看起来其实有点像一台连接了电话线的打印机，不过传真机会发出各种奇怪的声音，还能通过电话线并以低速传输的形式进行页面扫描和输出。虽然在全球各地的各种办公室内仍然能找到传真机的身影，但实际上并没有多少人喜欢这种设备。

在网上搜索半天之后，我们也找到了很多有意思的传真机软件开源项目，其中更新比较频繁的就是HyLaFax。HylaFAX貌似是一款企业级的软件传真工具，而eFAX和mgetty + sendFAX则是一种基于命令行的更轻量级的软件传真替代方案。除了它们之外，还有很多开源项目都在为软件传真生态系统做贡献。比如说，ICTFAX就是一种基于Web的解决方案，IAXmodem则是一款支持连接PBX和传真客户端的软件桥接工具，以及Spandsp库等等。

简单来说，传真的整个过程需要涉及到三种通信层：

1.数据层：此时，调制解调器需要拨号，然后发出各种奇怪的声音，最后在通信双方之间建立数据信道，并允许双方交换数据符号。

2.会话层：在这一层，传真机会进行通信参数协商，其中包括页面格式、页面传输速度和图片压缩方式等等。

3.图片/页面层：传真机会在这一层对页面信息进行编码/解码，对数据进行压缩/解压，检查并纠正错误等等。

根据调制解调器需要处理的通信层数量，我们可以对设备进行归类：

1.第一类：调制解调器处理数据层，同时依靠传真机软件来实现会话处理和页面处理任务。

2.第二类：调制解调器处理数据层和会话层，然后把图片处理任务交给软件端完成。

除此之外，还有一类设备负责提供额外功能，比如说设置不同的传输速度等等。由于我们这篇文章主要针对的是第一类设备，所以其他种类的设备就大家自行搜索啦！

那么，在传真机软件（例如HylaFAX）和传真机调制解调器的帮助下，任何人都可以通过电话线来发送和接收传真。在发送一份传真时，我们只需要一份输入文档和目的传真机的电话号码，然后用软件进行拨号和数据编码，最后发送出去就可以了。在接收一份传真时，会有一个软件进程通过调制解调器的串口来监听来电信号，接收所有的数据信息，然后将其存入本地文件系统或通过邮件发送给用户。

安装配置

接下来，我们需要深入分析软件传真背后每一层的工作机制。此时，我们需要用到下列几种组件：

1.两台90年代的老式传真机；

2.两个USB传真机调制解调器；

3.思科SPA112；

4.Asterisk；

5.IAXmodem；

6.HylaFAX、eFAX和mgetty；

7.gdb；

8.vim；

9.afl。

我们的组件将帮助我们部署不同的配置环境，Asterisk是我们的主PBX，它负责进行路由调用和提供私人电话网络（允许我们的各种组件与其他组件拨号通信，而无需使用到使用到公用电话网络PSTN）。思科SPA允许我们物理连接到传真机设备，并使用USB调制解调器连接我们的Asterisk网络。同时，gdb和vim可以帮助我们阅读程序的源代码和编译过程。在整个过程中，我们还需要运行afl模糊测试器来测试不同代码块和功能组件的安全性。