文档章节

一言不合被直播,你成了“楚门”,你知道吗!

亚洲诚信
 亚洲诚信
发布于 2017/06/26 09:53
字数 1598
阅读 3
收藏 0

智能摄像头,想必大家对这个产品并不陌生,只要在家里的某个地方安装好摄像头,然后下载一个相关联的应用程序,那么你就可以清楚的知道家里的情况,比如家里的宠物在干些什么,又比如可以查看老人在家是否安全。这么一个“神器”,在如今科技化的互联网时代,尤其受大家的追捧和热爱。

 

然而,前几天,央视新闻爆出:只要在网上搜索“摄像头 破解”,就会跳出众多相关的聊天群,支付一定的费用获得破解软件的教程后,你就可以实时查看别人的家庭画面。

这种大量靠着破解智能摄像头,侵入相关系统,偷看或直播智能摄像头监控内容从而获得非法盈利的行为已经成为了当下“热门”的灰色产业链。

随后,质检总局进行了智能摄像头质量安全风险监测,采样品牌涵盖排在市场关注度前5位的产品,最终,40批次产品中存在安全漏洞的就多达32批次,占比高达80%!其中数据传输安全不符合项最多,达到28批次!

对此,安全专家解释称,卖家所提供的这些扫描软件主要依靠扫描器,用一些弱口令密码进行大范围的扫描,例如user或者admin等极简单甚至是原厂默认口令。严重的是,不仅仅是个人用户,就连那些用于城市管理、交通监测的公共摄像头中,也大量存在着使用弱口令就能打开的问题,且涉事设备数量庞大。

根据《国内智能家庭摄像头安全状况评估报告》称:产品本身的问题主要集中在:用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷等这几个方面。

传输未加密:大部分摄像头采用HTTPS协议进行传输加密,但由于API接口配置不当,导致加密容易被破解。另外有一些摄像头使用RTSP协议传输,但是协议内容是明文传输的,这样只要把地址复制到一个支持RTSP协议的播放器内,就可以获得当前智能摄像头的界面。

未存在人机识别机制:在注册、找回密码等流程都需要人机识别机制来进行安全验证,但许多摄像头没有人机识别机制,或者人机识别机制存在于本地,导致用户密码可被强制修改。

多数智能设备可横向控制:在控制一个摄像头之后,通过逆向分析、网络活动分析等手段判断出控制设备的标识和指令,如果没有防重放参数就可以直播使用,然后根据一个或多个的设备控制标识预测出其它设备控制标识,从而横向控制大量智能设备。

客户端没有安全加固:大量摄像头APP没有进行混淆、加固,可以被轻易的逆向分析出源代码。

代码逻辑设备有缺陷:一些代码设计缺陷也可能造成设备被控制,比如验证码生成,一些开发者为了节省资源,将生成机制放在本地,有的甚至可以直接看到验证码,有的则可以暴力破解。

缺少远程更新机制:设备有漏洞就需要更新来补上,但很多摄像头都没有远程固件更新机制等等。

这些安全缺陷的存在,让接入网络的智能摄像头可以轻易被不法分子控制,对安装摄像头的家庭、公司、行政事业单位进行监控甚至网上直播。这就意味着,摄像头下被曝光的不仅是个人、家庭的隐私,还有可能是一些企业、单位的秘密。而且,更有人将获取的“实时影像”标价出售,给人们的工作、生活制造了很多麻烦。

 

智能摄像头的安全问题可谓种类繁多,对厂商来说,需要从云端、硬件端和客户端三方面都做好安全设计;

加固APP客户端的研发,加大破解的难度。且近期苹果新系统对APP的开发提出了更高的要求,若要占领行业先机,加固APP安全等级不可忽视。

正确设置HTTPS的安全配置。HTTPS是加密传输的基本保障,若SSL证书部署不当,则HTTPS形同虚设。如何正确部署HTTPS加密传输,可以咨询TrustAsia SSL证书的技术支持。

设置人机识别机制。人机识别机制可以防止暴力破解,防止攻击给用户账号体系带来的威胁。

而对智能摄像头的用户来说,自我防范意识也很重要,用户应该避免使用原始预设的或过于简单的用户名与密码,而且要定期进行更换;摄像头尽量不要正对卧室、浴室等隐私区域,并要经常检查摄像头的角度是否发生变化;此外,最好养成定期查杀病毒的好习惯,及时更新智能摄像头操作系统版本和相关的移动应用。

黑色喜剧《楚门的世界》向我们展现了一个平凡的小人物是怎样在自己毫不知情的情况下,每一秒钟都有上千部摄像机包围着,每时每刻全世界都在注视着他,而被制造成闻名的电视明星的故事。

而如今,我们也成了楚门世界中的一份子,所有的一举一动都有可能被他人公之于众。科技是把双刃剑,数据在暗处也在云端,若少了安全的锁,那么技术的红利就会变成技术的噩梦。

本文转载自:http://www.toutiao.com/i6435754954035560962/

亚洲诚信
粉丝 4
博文 104
码字总数 78476
作品 0
程序员
私信 提问
程序员的内斗: 测试和开发干仗, 已经到用鼠标线勒脖子的程度

程序员的职业也细分为很多种,有开发,测试等等,在这下面又会根据应用场景等细分为不同的职位。了解互联网行业的人可能知道,测试和开发虽然都属于程序员职业,但二者往往会有利益冲突。开发...

程序员之家_
2018/12/05
0
0
90后中年人转行究竟有什么大不了的

第一批90后早就已经步入中年了。这些年,他们中的许多人在历史的洪流中奋勇向前,取得了不错的成就,过上了令人羡慕的生活。 然而他们却活得很尴尬。 在人们看来,你的生活都这么充裕了,还有...

梦履薄冰
2018/01/12
0
0
李彦宏、马化腾、雷军,程序员国服三强中谁的编程能力更胜一筹?

点击上方“程序人生”,选择“置顶公众号” 第一时间关注程序猿(媛)身边的故事 他们,曾是勤勤恳恳的程序员 江湖中依然流传着他们如诗一般的代码 他们多才多艺 有的精通饶舌 有的精通外语 ...

csdnsevenn
2017/12/17
0
0
心怀敬畏,该干嘛干嘛

/feng/ 东西方都有这么一类故事:主人公(姑且称为 A)去算命,被告知将命中有个什么灾。A 很惶恐,做了各种预防补救,结果恰恰是因为 A 做的这些事情,反而一步一步陷入到这个灾中。 最好的...

峰哥BYM
2017/12/14
0
0
为什么我另一个按钮实现的功能还是上一个的?

弄的是点击按钮转跳网页,我的百度的按钮是正常的,但是下面扣扣的按钮转跳的还是百度的~~~这是为什么嘞~~ 原谅我一言不合就发了代码~~~~

it小码农
2016/09/16
73
0

没有更多内容

加载失败,请刷新页面

加载更多

浅析大数据 学习大数据后能做什么

大数据时代的到来使得大数据开发人才迎来了前所未有的机遇和挑战!一个绝佳的入行机会摆在了众人面前!于是,很多人都在打听,大数据到底有何应用?可以用来做什么?好程序员今天就为大家作出...

好程序员IT
16分钟前
1
0
C# USB视频人脸检测

此程序基于 虹软人脸识别进行的开发 SDK下载地址:https://ai.arcsoft.com.cn/ucenter/user/reg?utm_source=csdn1&utm_medium=referral 前提条件 从虹软官网下载获取ArcFace引擎应用开发包,...

是哇兴哥棒棒哒
26分钟前
2
0
Vagrant虚拟机硬盘扩容

# 停止虚拟机vagrant halt <machine_name># 进入VirtualBox VMs目录,查看并记录原磁盘uuid,留作后用vboxmanage showhdinfo box-disk1.vmdk# 克隆磁盘,vmdk格式无法调整大小,需要...

sskill
28分钟前
1
0
分布式商业萌芽,银行迎来发展新机遇

01 分布式商业萌芽,银行迎来发展新机遇 金融界:近几年区块链的热度经历了过山车般的转折。目前追逐区块链的资本也开始冷静下来,于此同时,各大商业银行对区块链的研究应用也越来越多。您认...

Java领航员
34分钟前
2
0
Spring系列教程六: Spring jdbcTemplate在Dao中的使用

概念 Spring中的jdbcTemplate的主要作用是实现数据的交互,下面我们就在dao层中如何使用jdbctemplate写测试案例 项目目录如下 基于xml实现jdbctemplate 这里我们使用的是JdbcDaoSupport这个类...

我叫小糖主
37分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部