久しぶりに強化版のatomcam_toolsのソース見てたら
明確に使用方法が書いてないような便利機能がいつの間にかたくさん実装されていたので紹介しておきます

・画質調整機能　(videoコマンド)

https://github.com/mnakada/atomcam_tools/blob/4568a2c5a7a6f0cf9155a627031ec906034e60ba/libcallback/video_callback.c#L321

上下反転・ミラー、コントラスト(cont)、明るさ、サチュレーション、シャープネス、

2D,3Dノイズ低減の強さ、センサーのデジタル／アナログゲイン、等など

このパラメータはATOMCam内部で4000番ポートにコマンドを送るか、
cmd.cgiにexecコマンドを渡すことで実行できます。

4000番ポートでの制御は127.0.0.1から以外はRejectされてます。

https://github.com/mnakada/atomcam_tools/blob/4568a2c5a7a6f0cf9155a627031ec906034e60ba/libcallback/command.c#L130

第二引数を省略した場合、戻り値として現在の値が返されます

ATOMCam内のスクリプトなどで処理する場合

[root@atomcam:~]# echo "video bri 100" | /usr/bin/nc localhost 4000
ok

外部からcurlコマンドでcgiを呼び出す場合

curl -v -X POST -H "Content-Type: application/json"  -d '{"exec":"video bri 128"}' "http://192.168.0.5/cgi-bin/cmd.cgi?port=socket"

※ "exec"と:とコマンドの間にスペースが入ると正しく動きませんでした

CGI用のHTTPベースのコマンド制御が実装されてた　これ使うとオートメーションできると思う
あとWAVファイル再生とか実装されてたわ　便利
あとでコマンド一覧まとめるね pic.twitter.com/Qy7MMS3oIn

— ひろみつ (@bakueikozo) 2023年9月20日

動かしている例はこんな感じです。

よくわかんない役割も多いですので、実際に調整してみるのがいいと思います。

多分再起動したら標準値に戻ると思います。

何かしらいじったら天体用にいい値が出てくる気がするので私も試してみます。

・そのほかのコマンドの実装がここにあるので色々できます

https://github.com/mnakada/atomcam_tools/blob/4568a2c5a7a6f0cf9155a627031ec906034e60ba/libcallback/command.c#L32

使いそうなのは "irled on" "irled off" "irled auto" とかかな

※irled のon/offは実際にはnight mode のon/off で LEDの制御じゃない…？かな？

あと、"aplay <wavファイル名の絶対パス>"　でスピーカから音声再生ができました

ここまで散々体温計付きカメラを分解してきましたが、久しぶりに面白い案件にぶち当たってしまいました。

これにどれだけの何が残ってるかまだわかんないけど、このラベルが貼ってあるガラクタを、「これが検温カメラの型番だと思ってヤフオクに出品するレベルの人間の手に渡ってる」の何かしらの問題だと思う

どっかのショップ店頭の備品を誰か売ったんかな、と思ってたんだけど... https://t.co/XN1g9XVBwQ pic.twitter.com/vv8Ja9VFL5

— ひろみつ (@bakueikozo) 2023年8月8日

大元の所有者に連絡を投げたつもりですが、お盆進行なのか全然返事が来ませんね。

つまんないので、今回入手した検温カメラからどうやって画像を取り出したかを記録しておきましょう。

このカメラ、普通に立ち上げるだけで、ネットワークインターフェイスは有効化され、

192.168.1.18が割り当てられます。同じセグメントからLAN接続すれば、いろいろできそうですが…

まずポートスキャンしてみたところ、23(telnet)、80(http)、554(RTSP)が空いていることがわかりました。

早速ブラウザでアクセスしてみますが…

認証が必要です。思いついたパスワードを入れてみますが、通りませんでした。

このカメラ、いろいろ探してみると、「AM520RT」というのが見つかりました。

メーカーのサイトを見てみます。

www.aimex.co.jp

みていると、どうやら３月のマスク規制解除のため、ユーザー設定でマスク警報を解除できるようにしてあるとのことです。

そのための管理ソフトが準備してある…と書いてありますが、

なんとリンク切れ。
方法の説明を見ると、アプリをインストールするだけでパスワードなどを入れるところがありませんので、このアプリ内にパスワードが埋まっている可能性があります。

webarchiveなどをみてみましたが、残念ながら見つかりません。

この方法ではダメなようです。

引き続き、telnetアクセスを試してみますが…

同様に、パスワードがわかりません。

はい、まぁ最低限、パスワードで守られているため、
簡単には中のデータが見れないようでした。

では終わらないわけで。

早速本体を分解していきます。

www.youtube.com

基板をよく見れば、TX,RX,GNDというシルクの書かれた３つの穴があります。

これはシリアル端子、保守UART端子などと呼ばれ、大抵の組み込み機器にはあります。
つけているというよりは、開発やデバッグなどのため、どうしても最後まで削除しにくいセキュリティホールなのです。

ここに配線を取り付け、USBシリアルケーブルでパソコンに接続します。

最近私は作業PCがMacになって今までのTeraTermが使えなくてちょっと不便なのですが、
どうにかやっていきます。

Macのターミナルでscreen コマンドを使用します。

% screen /dev/tty.usbserial-24240 115200

電源を入れると、起動時のメッセージが表示され、本体がLinuxで動作していることがわかります。

（起動時の全メッセージはここにあります）

このまま画面を眺めていると

「ipc login:」というログインプロンプトが現れます。

では、徐に 「root」 Enterターン！！！

…ダメです。ログインパスワードがかかっています。

残念でした。

では、次です。

Linuxが起動する前に、u-bootの起動メッセージが出ています。

u-bootとは Linuxを読み込む前に、本体のRAMの初期化やストレージの初期化を行い、

Linux自体を起動させる「ブートローダ」というプログラムの一つです。

そのu-bootにも実は保守モードがあります。
やはり、この保守モードへの入口もなかなか最後まで削除しにくい穴です。

画面に「Hit any key to stop autoboot: 2 1 0 」と出ている間になにかキーを押すと、

このように、u-boot保守モードのプロンプトが現れます。

helpコマンドをタイプしてみましょう。

このように、使えるコマンドのリストが現れます。
このu-bootのコマンドを使って、本体の穴を広げていきます。

Linuxを起動する際に、Linuxに渡すパラメータリストがあります。
これは環境変数bootargsに入っていますので、printenvコマンドで表示します。

いろいろ渡されています。ここで、ルートファイルシステムはmmcblk0p3であること、などが書かれています。
さて、ここには記されていませんが、Linux Kernelはカーネルの読み込み後、最後に「initプロセス」を起動することになっています。

initプロセスは、ルートファイルシステムに配置された実行ファイルですが、初期設定でいくつかの順番で探し、見つかったものを起動するようになっています。
最近のシステムでは/sbin/initを起動します。このinitがルートファイルシステムやユーザディレクトリなどのマウントを仕上げ、/etc/passwdを参照するloginプロセスを立ち上げます。

ところで、ここでじつはinitパラメータとして、他のプロセスを指定することができます。

 init=/bin/sh として値を渡すと、なんと/sbin/init ではなく、パスワードなどを入力する必要のない状態の素のシェルが立ち上がってくれるのです。

さっそくやってみます。

setenv bootargs "mem=512M console=ttyAMA0,115200 root=/dev/mmcblk0p3 rootfstype=ext4 rw rootwait blkdevparts=mmcblk0:1M(boot),4M(kernel),32M(rootfs),256M(appfs),8M(logo),2M(license),6144M(params),1024M(log),6144M(logjpg),-(user) init=/bin/sh"

とすると、環境設定が書き換えられます。

この値をsaveenvコマンドで保存します。

ここで、boot コマンドを実行すると…

＃プロンプトが表示されています。さっきまでは起動直後にあれこれ表示が出ていましたが、それも出ていません。

shの正体はbusyboxでした。

使えるコマンドを見てみます。

なんでも使えそうです。
さて、これらを使ってファイルシステムを漁っていきます。

/etc/init.d/の下に起動時のスクリプト類がありますので、ここを確認します。

S02moutfsというのがあります。mountのtypoをほったらかしてますね。

中を見ると

こんな記述があります。eMMCの9thパーティションをjpglogというフォルダにマウントしています。怪しいですね。

そのほかにもいろいろマウントしてそうですので、このスクリプトを実行してしまいましょう。

（先ほど記述した/sbin/initは/etc/init.d/rcSを起動し、そこからSxxが呼び出されるのが普通の起動ですが、今回は直接sh(busybox)を起動したため、そのようなスクリプト実行がされていません。）

マウントされたかな？

大正解！日付ごとに分かれたフォルダが出てきました。
中身入ってるかな？ findコマンドでファイル一覧を取得します。

うん、入ってますね。

さて、しかし、現在このシリアルコンソールしか接続されていない状態、
このようなバイナリファイルを取得して確認するのはちょっと面倒。
この機種はUSBコネクタがありませんのでUSBメモリを使うことは…

もう一回基板を見てみましょう。

なんと、本体にはUSBコネクタはありませんが、
基板上にはUSB用のコネクタが実装されていたのです。

たまたま別機種からもぎ取った同等のコネクタがありましたので、その辺にあったUSB延長ケーブルをぶった斬り、配線を合わせてケーブルを作成します。

USBメモリを差し込んでみると…認識しました。

USBメモリをマウントし、cp -r コマンドでjpgファイルを全部コピーします。

あとはこの画像を眺めるだけです。お疲れ様でした。

このように、このような組み込みOSが入っている検温カメラでは、本体UIやWebUIにパスワードがかかっていても、本体を直接分解し、シリアルコンソールなどから制御すればデータの吸い出しが可能になることがあります。

io.cyberdefense.jp

そうでなくても、チップを剥がして読み出せば全部読めてしまうこともあるんですが。

改めて、このようなカメラ付き検温計の処分の際には注意してください。
ヤフオクとか、メルカリに出してしまうと、うっかり私が買いますので。

prtimes.jp

例のコレ、発表になったときに一応見てみたものの、
まぁ私インフラエンジニアではないし、特別何かできそうもなさそうだからと見送っていたんですが…

なんだか直前になると欲しくなってきて…

一応店に行ってみたら

なんとか２個だけ手に入ったので

…やっちゃうか！

というわけで、過去のミニチュア魔改造シリーズ

わーい 一番やりたかったやつできたよー 音響式歩行者用信号 とおりゃんせ&故郷の空 ボタン押すと おまちください が点灯し、ランダムに待って青信号、メロディ再生(曲は交互に変わる) 点滅から赤に戻りおまちください 消灯。ここ最近の改造技術を全部ぶっこんだ感じw #信号機ガチャ pic.twitter.com/k0az8Uay15

— ひろみつ (@bakueikozo) April 7, 2017

に続いてこいつもやっちゃいました！

現物を見たことがない…のでメーカーさんの動画をなんとなく見て

ガチャ用に本来の縮尺じゃない大きさでコネクタつけてるのか。じゃあ元の左端のじゃなくてコネクタのところに合わせれば良いか。 pic.twitter.com/AWqeevy6Ku

— ひろみつ (@bakueikozo) June 16, 2023

電源LEDとLAN部分のLINKとACTがそれっぽく点滅すればよさそう！

しかし、LED、いくらチップ型が小さいとはいえ、
この筐体の細かさには適合しません。
そこで、チップLEDにUV接着剤で、導光用のファイバーを接着して、
フロントパネルに開けた小さな穴にセットすると

パネルに穴を開けて光らせるとき、いくら小さなチップLEDでも特に穴の間隔が狭いと綺麗に光りません。なので、模型用のチップLEDに、導光ファイバーを接着することで効率よくLEDを埋め込めます。また、経路を曲げられるので、狭い場所への組み込みに大変便利です。 pic.twitter.com/vqgi6d4mNO

— ひろみつ (@bakueikozo) June 22, 2023

いい感じで光ります！！！

#手のひらネットワーク機器
A10ネットワークス

A10 Thunder 7655S
電源はいりまーす pic.twitter.com/xC1osFO3Z0

— ひろみつ (@bakueikozo) June 16, 2023

あとは…点滅制御…

ついでに、これは「手のひらネットワーク機器」だから…

ESP32を入れて、WiFiAPとして立ち上げれば、「ネットワーク機器」だ！

やってまえー

できた！！！

いつまでも眺めていられそうなきらきらとしたLEDの点滅が心を癒しま…

Lチカ成功#手のひらネットワーク機器 pic.twitter.com/9Tnu3N47dM

— ひろみつ (@bakueikozo) June 16, 2023

ブロードキャストストーム！！！

業界人の魂の叫びが聞こえるわ

さて、一個目作ったけど…せっかくだからもうちょっとやりたいわね…

しかしもうどこにもガチャがないわ…

嫁「こんなんで終わりなの？？？？まだやれるでしょ」

あっハイ。

嫁が調達してきてくれました…

次回後編、手のひらネットワーク機器ガチャ、Linuxサーバとして転生

honeylab.hatenablog.jp

前回からの続きです。

前回のははっきり言ってハズレだったので、慎重に検討を重ね、
こちらの機器を購入しました。

AHA Smart Pass ASP-19という機種です。

到着！

早速起動してみると、Androidが起動し、組み込みのアプリが立ち上がりました！

何そのブートロゴw pic.twitter.com/b9p1wCjTIf

— ひろみつ (@bakueikozo) June 9, 2023

検温してみると…検温できた…がなんとマスクをしていないと怒られます！ハイテク！
噂には聞いていたけど初めて見た！

マスクをしてくださいと言うタイプの検温カメラ

とりあえず口の前に白いもの置けばいいw pic.twitter.com/B2dqWM5kRY

— ひろみつ (@bakueikozo) June 9, 2023

さて、漁ってみましょう。

本体の土台の裏面にUSBポートがあるので、こちらにマウスを繋ぐとポインタが現れました。
終了しようと右クリックすると、「暗証番号を入力してください」と言われてしまいます。

…説明書を見よう。

初期パスワードは「１２３４５６」です。と書いてあります。
入れてみます。

…見事にアプリを終了できました。

設定画面からストレージの使用量を見てみると…「画像」のところに若干の容量が

クリック！

あぁぁぁっｗ

うーん、アプリにパスワードはかかっていましたが、データがファイルで転がっているとは…

東亜のやつはDBに組み込まれてたしUIもないから見えなかったけど、
ファイルベースで転がってるのはちょっとびっくりした。

日付ごとに分かれているのでフォルダ開けてみましょう。

あぁぁん

あぁぁ。あたり。

さて、このカメラ、一応ちゃんと説明書に画像が保存されることと、
消去の方法については記載されていました

これは一応マニュアルに消去の方法は載ってる
ただ、知らなければ画像が残ってることはわからないだろうし、消そうとしてもマウス繋がないと何もできんのだよな。
何も考えずに捨てちゃうとこうなるよ。 pic.twitter.com/CHyLVFrN8k

— ひろみつ (@bakueikozo) June 9, 2023

マニュアルPDF

https://www.earthcast.co.jp/web/pdf/ASP19/ASP-19_manual.pdf

なので、この機器に関しては「消去し忘れ」ということになるでしょうか。

しかし、設置者は本当に理解していたでしょうか。
また、消去するためにはどっかからかマウスを持ってきて接続しなければなりません。
設置者と撤去者が同じではない可能性もあります。
リサイクルショップで取り扱った場合、チェックした店員にもこの知識がなければ、
電源を入れて検温ができればOK、として中身を消去しようなどと考えないでしょう。

あと、この機械、USBエクスポート機能というものがあり、

背面のUSB端子にUSBメモリを挿し、マウスを繋いで操作すると、データが全部USBにエクスポートできる、という便利ガバガバ機能が搭載されています。

あと、これもおそらく出荷時からの設定で、初期からUSBデバッグおよびTCP経由でのadb接続が有効、しかもAndroidのビルドがdebug版なので、root権限でのadb接続が可能である、という大穴が空いています。
もともとネットワークに接続することを想定せず、そういった悪意のある人を想定していないんだとは思いますが、うっかりそういう人（ It's ME !!!!!） が現れた場合、全く無防備な状態になっているものでした。

例えば、こんな方法

①RaspberryPiか何かのEtherポートにDHCPDを建てておいてこっそりこいつの背面のEtherにつなぐ。

②そうするとこいつがDHCPでIPを取りに行くので、それを検知したらadbコマンドで全部ぶっこぬくように仕込んでおいたスクリプトを実行するようにしておく

③外す

これだけで全部吸い出せてしまいます。

Ethernetから撮影画像を全部１分で引っ張ってきましたの図 pic.twitter.com/a19WzDKXcQ

— ひろみつ (@bakueikozo) June 9, 2023

肝心の？検温部分については、そんなに解像度の高くないサーモセンサっぽく、
おそらく独自プロトコルでメインボードとシリアル通信をしているようですので、
わざわざ取り出すようなものでもありません。

検温モジュール
センサの他にSTM32が乗っててメイン基板とシリアル通信っぽい
ド汎用ではなさそうだから、使いたいならプロトコル調べないとかも https://t.co/pZxjRGWr6D pic.twitter.com/8QDGI9Fsim

— ひろみつ (@bakueikozo) June 9, 2023

また、内蔵の可視光カメラと赤外カメラがそれぞれAndroidの前面、背面カメラとしてきちんと認識されているので、配信ソフトやZOOMなどのテレビ会議ソフトから認識可能だと思います。なかなか便利じゃないですか？？？

おお、前面カメラと背面カメラ(赤外線)がそれぞれ標準のカメラに割り当てられてる。これZoomとか入れたらテレビ会議にすごい便利だと思うんよ。 pic.twitter.com/S8iO5rTo64

— ひろみつ (@bakueikozo) June 9, 2023

設定画面で撮影することで、顔認識機能を使うことができます。

認識も高性能です。マスクをしててもOKです。

マスクしてても顔認識できるのすごいなぁ pic.twitter.com/q32STRyT0D

— ひろみつ (@bakueikozo) June 9, 2023

リレー出力も可能ですので、Qrioと組み合わせて家の鍵が開けれますよ！

この機種は、たまにヤフオクやリサイクルショップに出ているようで、
上記のようにAndoirdのroot権限を取得可能なので、改造したりして自分のシステムを作るにはなかなか快適な環境だと思いますよ！

さて、改めて、このような機器、画像撮影が行われている場合、
きちんと消去するか、あきらめて廃棄する、ということを選択したほうがいいでしょう。

先日の事件を受けて、工業会 「日本万引防止システム協会 」というところが
注意喚起文を発表しています。

https://www.jeas.gr.jp/pdf/20230530.pdf

そういう機器に入るみたいですね、この機器。

ただ、やっぱり設置者も、利用者も、機器に関しての認識は低いと思います。
しかし、こういう検温カメラみたいなこと、今後また起こるかというと怒らないんじゃないですかね。
なので、今ある機器に対して、自分の管理下にあるものはきちんと処分しましょうね、ということを自費で伝えてるだけなんですよ、私。ただの興味本位です。
過剰な好奇心は身を滅ぼす誰かが言ってたね！気をつけようね！俺！！！！