智能摄像头安全分析及案例参考

在举办APK测试时，发明APK告白打点平台存在越权。会见URL:http://xx.xxx.com/Service/AdsList.do可查察全部告白信息。

通过该越权也可以等闲修改或删除告白信息，进而影响全部APK吸取到的告白。其它一处经销商查询接口处，也存在越权。会见URL可直接查察全部供给商信息。

(3) 多个数据库行使了沟通口令

通过struts2呼吁执行获取了一台处事器的权限，获得了个中数据库的暗码，其后发明该公司多个云处事器上的数据库行使的都是沟通暗码，包罗最重要的用户打点数据库和云ID号码打点数据库，也包罗了两台重要的视频存储集群装备。

风险说明：

• 对比摄像头装备的裂痕，进攻者也许更善于从web处事器入手，处事器一旦呈现题目，那么全部的用户和装备信息都将受到威胁;
• 未授权会见也许导致供给商信息泄漏、告白被恶意改动，乃至打点员暗码失贼等。

(4) 测试小结

通过测试，发明摄像头、云端、APP之间的数据通讯回收了必然的掩护法子，但照旧存在许多安详单薄点。

• 算法可被逆向说明。私有算法的安详性取决于算法的不果真性，一旦算法逻辑可被逆向说明，那么在这之上成立的安详基本都将不复存在。
• 身份校验存在缺陷。在行使自发包节制摄像头或连通处事器时，摄像头和云端处事器没有对节制数据举办校验，导致可直接相应恣意数据。
• WEB处事器存在的安详隐患较大。固然本次测试并非针对web处事器，但测试中就已经发明中高危裂痕七八个之多，假如举办针对性web安详测试应该会有更多的题目。并且web处事器中生涯着更多的用户数据和装备信息。

安详提议

• 平台安详性：回收安详断绝方法，把专网与公网从物理上隔分开，这是最切实有用的安详法子，防备摄像头在互联网上的袒露;
• 应有完美的授权机制，可以机动地分派用户可以查察的摄像机、可执行的成果模块，可执行的详细成果等。因而用户只能查察权限范畴内的摄像机和执行被授予的成果。
• 通讯安详机制：在收集通讯时，体系提供端到端(用户端-体系平台-装备固件)的SSL验证和数据加密。为防备视频流被犯科用户截获，可以对视频文件举办加密传输，一样平常可以回收对称密钥系统举办加密，对每个视频流回收差异的密钥加密，只有有权寓目此视频流的用户才拥有此密钥，可以对视频流举办解密，保障视频传输的安详性。
• 云处事器除了停止传统web裂痕外，对云端处事器的视频和文件举办备份和加密存储，防备由于处事器被孝顺而导致用户数据泄漏。
• 手机APP应该举办安详加固和代码夹杂，防备app被逆向破解导致算法或营业逻辑泄漏。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!