隨著技術(shù)的發(fā)展,進(jìn)入5G時(shí)代萬(wàn)物互聯(lián),物聯(lián)網(wǎng)應(yīng)用滲透到工作和生活的各個(gè)方面。智能攝像頭作為身份認(rèn)證和安全的重要環(huán)節(jié),在智能家居、汽車、無(wú)人機(jī)、機(jī)器人等領(lǐng)域AR 已被廣泛使用。與此同時(shí),一些犯罪分子利用一些智能攝像頭的安全漏洞,窺視他人的家庭隱私生活,并在網(wǎng)上公開(kāi)出售。
芯片采購(gòu)網(wǎng)專注于整合國(guó)內(nèi)外授權(quán)IC代理商現(xiàn)貨資源,芯片庫(kù)存實(shí)時(shí)查詢,行業(yè)價(jià)格合理,采購(gòu)方便IC芯片,國(guó)內(nèi)專業(yè)芯片采購(gòu)平臺(tái)。
從水滴直播到失控?cái)z像頭,智能攝像頭的安全問(wèn)題層出不窮,越來(lái)越受到人們的關(guān)注。本文簡(jiǎn)要分析了當(dāng)前智能家居的安全結(jié)構(gòu),結(jié)合安全評(píng)估過(guò)程中發(fā)現(xiàn)的一些安全問(wèn)題。
目前,市場(chǎng)上常見(jiàn)的智能攝像頭架構(gòu)包括設(shè)備終端和手機(jī)APP終端和云服務(wù)平臺(tái)。以下評(píng)估重點(diǎn)是設(shè)備終端、設(shè)備本身存儲(chǔ)的一些設(shè)備密碼、與云交互的數(shù)據(jù)流等信息。
分析網(wǎng)絡(luò)流量
很容易看出,與云的交互基本上是明文傳遞的,沒(méi)有看到任何東西TLS加密流量。
開(kāi)機(jī)加網(wǎng)流程簡(jiǎn)單抓一波流程,容易有一些意想不到的喜悅。
如圖所示,很容易看到一些顯眼的東西PUT方法的HTTP經(jīng)過(guò)分析,發(fā)現(xiàn)相機(jī)是通過(guò)交互請(qǐng)求PUT該方法將監(jiān)控的視頻和照片上傳到云中。監(jiān)控的照片和視頻很容易提取,因?yàn)樗鼈儧](méi)有加密。
通過(guò)對(duì)流量的不斷分析,可以看到設(shè)備與云認(rèn)證和綁定用戶信息的過(guò)程,以及弱密碼認(rèn)證設(shè)備,
上傳到云的視頻和圖片地址
測(cè)試這些歷史圖片和視頻信息URL生成過(guò)程相對(duì)嚴(yán)格,無(wú)訪問(wèn)控制限制,設(shè)備解除后可查看歷史記錄。許多設(shè)備和云控制交互信息更容易捕獲和重放。
由于流量沒(méi)有加密,事實(shí)上,流量分析相對(duì)順利,暫時(shí)不需要從手機(jī)開(kāi)始APP開(kāi)始分析,然后看看相機(jī)設(shè)備本身。
熟悉的端口都打開(kāi)了,看看打開(kāi)的WEB端口,沒(méi)有負(fù)載任何業(yè)務(wù),但在分析固件獲得固件系統(tǒng)用戶名和密碼之前,很容易telnet因此,沒(méi)有必要進(jìn)入設(shè)備WEB費(fèi)時(shí)間。
IoT設(shè)備中固件是承擔(dān)神經(jīng)中樞的操作系統(tǒng),固件認(rèn)證機(jī)制不足,甚至像各種串口一樣telnet或ssh使用服務(wù)打開(kāi),很容易找到敏感信息dump固件,導(dǎo)致各種安全問(wèn)題。
正常獲取云平臺(tái)地址和控制端APP之后,可以進(jìn)一步正確WEB除一步分析和評(píng)估服務(wù)和業(yè)務(wù)流程,除了服務(wù)和業(yè)務(wù)流程外IoT除設(shè)備添加、綁定等特殊業(yè)務(wù)功能外,其他都是常規(guī)評(píng)估流程,不再詳細(xì)。
IoT雖然技術(shù)應(yīng)用很復(fù)雜,但其技術(shù)架構(gòu)可以從邏輯上分為三個(gè)方面:云平臺(tái)、設(shè)備終端和移動(dòng)終端。可實(shí)現(xiàn)的過(guò)程是通過(guò)移動(dòng)終端下載APP與云通信,發(fā)送控制指令,然后將控制指令轉(zhuǎn)發(fā)到設(shè)備終端,以控制連接互聯(lián)網(wǎng)的智能設(shè)備。
以智能家居為例,邏輯上有非常清晰的端-管-云系統(tǒng)架構(gòu)。
終端:智能家居終端包括各種智能設(shè)備、家庭網(wǎng)關(guān)、家庭控制終端等。
管道:隨著網(wǎng)絡(luò)連接技術(shù)的多樣化、寬帶化和一體化,智能家居網(wǎng)絡(luò)傳輸管道充分利用綜合布線和網(wǎng)絡(luò)通信(3)G/4G/5G、NB-IoT、WiFi、Zigbee、藍(lán)牙等。)、自動(dòng)控制等技術(shù)形成家庭內(nèi)部局域網(wǎng)和外部通信網(wǎng)絡(luò)通道,與家庭成員連接各種智能家居設(shè)備和傳感器,形成互聯(lián)網(wǎng),幫助智能終端實(shí)現(xiàn)與云的數(shù)據(jù)交互,實(shí)現(xiàn)智能家居生態(tài)的智能互聯(lián)。
云:越來(lái)越多的智能硬件設(shè)備建立了智能云服務(wù)。智能家居云服務(wù)器將存儲(chǔ)、分析和反饋相應(yīng)的智能終端設(shè)備數(shù)據(jù),并為相應(yīng)的智能設(shè)備提供更多的擴(kuò)展功能服務(wù)。同時(shí),由于云平臺(tái)的存在,智能家居內(nèi)的智能設(shè)備與互聯(lián)網(wǎng)資源形成了云連接。
目前IoT安全建模基本圍繞上述端-管-云架構(gòu)展開(kāi)。此外,在智能家居場(chǎng)景中,智能家居網(wǎng)關(guān)作為重要的中心,也是智能家居網(wǎng)關(guān)安全的重要分支。SKHynix代理
智能家庭網(wǎng)關(guān)作為連接公共網(wǎng)絡(luò)和家庭局域網(wǎng)的樞紐,承擔(dān)家庭內(nèi)部對(duì)云的訪問(wèn)和交互,遠(yuǎn)程控制用戶通過(guò)云訪問(wèn)和控制家庭網(wǎng)絡(luò),以及家庭內(nèi)部設(shè)備的連接和相互控制。智能家庭網(wǎng)關(guān)是智能家庭的中樞神經(jīng)系統(tǒng),可實(shí)現(xiàn)信息收集、信息輸入、信息輸出、集中控制、遠(yuǎn)程操作聯(lián)動(dòng)控制等功能。
(圖為國(guó)家標(biāo)準(zhǔn)信息安全技術(shù) 智能家居安全通用技術(shù)要求中的智能家居安全模型)
除了與智能家居終端相同的安全風(fēng)險(xiǎn)外,智能家居網(wǎng)關(guān)還面臨著網(wǎng)絡(luò)接入和惡意網(wǎng)絡(luò)流量帶來(lái)的入侵風(fēng)險(xiǎn)。G隨著時(shí)代的到來(lái),以智能網(wǎng)關(guān)為切入智能家居市場(chǎng)的入口競(jìng)爭(zhēng)可能會(huì)越來(lái)越激烈,其安全賦權(quán)可能會(huì)越來(lái)越重要。下次,我們將有機(jī)會(huì)思考和討論以安全網(wǎng)關(guān)為切入點(diǎn)的安全防護(hù)。
- AI重塑人車互動(dòng)體驗(yàn),加快產(chǎn)業(yè)智能化
- 創(chuàng)新動(dòng)能,加速釋放,AMD 賽靈思技術(shù)日在深圳成功舉辦
- Wi-Fi 6E已到,Wi-Fi 7還會(huì)遠(yuǎn)嗎?
- 蘋(píng)果掀起了備貨潮 PCB供應(yīng)鏈樂(lè)
- 英飛凌收購(gòu)初創(chuàng)企業(yè)Industrial Analytics,加強(qiáng)對(duì)機(jī)械和工業(yè)設(shè)備的預(yù)測(cè)和分析
- 韓國(guó)計(jì)劃禁止在中國(guó)銷售半導(dǎo)體設(shè)備,韓國(guó)公司擔(dān)心躺槍
- 漸夯的光線跟蹤 聯(lián)發(fā)科攻3商機(jī)
- 不斷升級(jí)的USB-C接口
- BlackBerry 全球已部署超過(guò)2.15億輛汽車
- 西部數(shù)據(jù)積極實(shí)踐探索數(shù)據(jù)價(jià)值的使命
- e絡(luò)盟發(fā)起‘Spartan-6 FPGA設(shè)計(jì)遷移七步進(jìn)階’挑戰(zhàn)賽
- 為智能汽車創(chuàng)建從芯片到軟件算法的集成解決方案
