New image

智能摄像头成为信息泄露的新载体

2017年06月29日

 

据央视新闻6月18日报道,记者在网上发现大量关于“摄像头破解”的聊天群,并花费188元购买了两款软件和详细的使用教程,通过卖家提供的ip地址、登录名和密码,竟然成功进入了一个摄像头。卖家靠卖号日赚500多元,月均过万并不难。据调查,破解智能摄像头的密码,侵入相关系统,偷看或直播智能摄像头监控内容,已经成为一条非法产业链。

与此同时,国家质检总局官网发布关于智能摄像头的质量安全的风险警示称,抽样检测的40批次中,32批次样品存在安全隐患,可能会导致用户监控视频数据泄露,或智能摄像头被恶意控制等危害。

今年年初,360互联网安全中心发布的《2016年中国互联网安全报告》已经对能家庭摄像头进行安全风险分析,指出大部分的智能摄像头可以通过破解验证码,实现任意账号绑定,通过账号体系就可以越权看到任意一个用户的摄像头内容。

什么是智能摄像头?

智能摄像头,是指不需要电脑连接,直接使用Wi-Fi联网,配有移动应用,可以远程随时随地查看家里的一切,与家人语音通话,还支持视频分享、远程操作监控视角、报警等功能的一类产品的总称。

智能摄像头潜在的安全问题

据互联网安全报告,大部分的智能摄像头在人机识别、APP客户端加固、加密传输方面存在安全问题。

为此,相关安全专家对智能摄像头进行横向测试。发现智能摄像头的APP没有做加固,极大的降低了破解的难度,使得测试者可以轻易的通过逆向分析得到摄像头源代码找到控制流程破解它。在加密传输方面,大部分都采用的是HTTPS协议对请求控制的内容进行传输加密,但API接口的配置不当,把HTTPS协议的数据强行降级到HTTP协议上进行传输,使传输加密的防线失效。

20170619114844-1024x75

 

上图是使用HTTPS进行加密传输。

20170619114901-1024x73

 

 

 

变更配置后可强制使用HTTP对访问目标API。这样就可以得到传输数据的明文,接着可以对参数进行分析,劫持控制。

安全建议

信息安全服务商数安时代(GDCA)建议各大智能摄像头厂商:

  • 加固APP客户端的研发,加大破解的难度。且近期苹果新系统对APP的开发提出了更高的要求,若要占领行业先机,加固APP安全等级不可忽视。
  • 正确设置HTTPS的安全配置。HTTPS是加密传输的基本保障,若SSL证书部署不当,则HTTPS形同虚设。如何正确部署HTTPS加密传输,可以咨询GDCA SSL证书的技术支持。
  • 设置人机识别机制。人机识别机制可以防止暴力破解,防止攻击给用户账号体系带来的威胁。

在选购和使用智能摄像头产品时,数安时代(GDCA)给广大消费者的建议:

1、选择正规渠道购买智能摄像头产品,切勿购买“三无”产品。

2、增强隐私信息保护意识,注意和防范用户信息可能泄漏的风险,检查产品的硬件与软件的安全设置,审慎考虑厂商收集、保存和使用用户信息的要求。

3、定期修改智能摄像头密码。

4、及时更新智能摄像头操作系统版本和应用。

 

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。关于更多SSL证书的资讯,请关注GDCA(数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

版权所有©数安时代科技股份有限公司2002-2019。保留一切权利。

客服热线:95105813   粤ICP备05036352号   公安备案:4406053010643