随着技术的发展、步入5G时代万物互联,物联网应用渗透到工作和生活的各个方面。智能摄像头作为身份认证和安全的重要环节,在智能家居、汽车、无人机、机器人等领域AR 已被广泛使用。与此同时,一些犯罪分子利用一些智能摄像头的安全漏洞,窥视他人的家庭隐私生活,并在网上公开出售。
南皇电子专注于整合中国优质电子Altera代理商国内领先的现货资源,提供合理的行业价格、战略备货、快速交付控制Altera芯片供应商,轻松满足您的需求Altera芯片采购需求.
从水滴直播到失控摄像头,智能摄像头的安全问题层出不穷,越来越受到人们的关注。本文简要分析了当前智能家居的安全结构,结合安全评估过程中发现的一些安全问题。
目前,市场上常见的智能摄像头架构包括设备终端和手机APP终端和云服务平台。以下评估重点是设备终端、设备本身存储的一些设备密码、与云交互的数据流等信息。
从网络流量开始分析
很容易看出,与云的交互基本上是明文传递的,没有看到任何东西TLS加密流量。
开机加网流程简单抓一波流程,容易有一些意想不到的喜悦。
如图所示,很容易看到一些显眼的东西PUT方法的HTTP经过分析,发现相机是通过交互请求PUT该方法将监控的视频和照片上传到云中。监控的照片和视频很容易提取,因为它们没有加密。
通过对流量的不断分析,可以看到设备与云认证和绑定用户信息的过程,以及弱密码认证设备,
上传到云的视频和图片地址
测试这些历史图片和视频信息URL生成过程相对严格,无访问控制限制,设备解除后可查看历史记录。许多设备和云控制交互信息更容易捕获和重放。
由于流量没有加密,事实上,流量分析相对顺利,暂时不需要从手机开始APP开始分析,然后看看相机设备本身。
熟悉的端口都打开了,看看打开的WEB端口,没有负载任何业务,但在分析固件获得固件系统用户名和密码之前,很容易telnet因此,没有必要进入设备WEB上费工夫了。
IoT设备中固件是承担神经中枢的操作系统,固件认证机制不足,甚至像各种串口一样telnet或ssh使用服务打开,很容易找到敏感信息dump固件,导致各种安全问题。
正常获取云平台地址和控制端APP之后,可以进一步正确WEB除一步分析和评估服务和业务流程,除了服务和业务流程外IoT除设备添加、绑定等特殊业务功能外,其他都是常规评估流程,不再详细。
IoT虽然技术应用很复杂,但其技术架构可以从逻辑上分为三个方面:云平台、设备终端和移动终端。可实现的过程是通过移动终端下载APP与云通信,发送控制指令,然后将控制指令转发到设备终端,以控制连接互联网的智能设备。
以智能家居为例,逻辑上有非常清晰的端-管-云系统架构。
终端:智能家居终端包括各种智能设备、家庭网关、家庭控制终端等。
管道:随着网络连接技术的多样化、宽带化和一体化,智能家居网络传输管道充分利用综合布线和网络通信(3)G/4G/5G、NB-IoT、WiFi、Zigbee、蓝牙等。)、自动控制等技术形成家庭内部局域网和外部通信网络通道,与家庭成员连接各种智能家居设备和传感器,形成互联网,帮助智能终端实现与云的数据交互,实现智能家居生态的智能互联。
云:越来越多的智能硬件设备建立了智能云服务。智能家居云服务器将存储、分析和反馈相应的智能终端设备数据,并为相应的智能设备提供更多的扩展功能服务。同时,由于云平台的存在,智能家居内的智能设备与互联网资源形成了云连接。
目前IoT安全建模基本围绕上述端-管-云架构展开。此外,在智能家居场景中,智能家居网关作为重要的中心,也是智能家居网关安全的重要分支。
智能家庭网关作为连接公共网络和家庭局域网的枢纽,承担家庭内部对云的访问和交互,远程控制用户通过云访问和控制家庭网络,以及家庭内部设备的连接和相互控制。智能家庭网关是智能家庭的中枢神经系统,可实现信息收集、信息输入、信息输出、集中控制、远程操作联动控制等功能。
(图为国家标准信息安全技术 智能家居安全通用技术要求中的智能家居安全模型)
除了与智能家居终端相同的安全风险外,智能家居网关还面临着网络接入和恶意网络流量带来的入侵风险。G随着时代的到来,以智能网关为切入智能家居市场的入口竞争可能会越来越激烈,其安全赋权可能会越来越重要。下次,我们将有机会思考和讨论以安全网关为切入点的安全防护。
Altera中国海量优质的信息资源、行业资讯、最新开发方案等资讯信息平台。