某米摄像头安全体验报告

某米摄像头安全体验报告

1、简介:

         安全小组对某米摄像头进行了简单的分析,本报告进行了简单总结。

2、问题详述(客户端/设备):

2.1、新购置的或刚重置的某米摄像头可被恶意添加,导致隐私泄露。

问题描述:

         新购置或刚重置过的摄像头接电时是出于未配置wifi状态的(闪橙色led),使用某米的手机客户端可以通过类似smart config的技术对有效范围内的某米摄像头设置wifi,方便用户的同时也存在一定的风险。

测试步骤:

1、  将新购置的某米摄像头接上电,此时橙色的led灯处于闪烁状态。

2、  移动到离某米摄像头直线距离8米处。

3、  打开智能家庭APP,进入添加设备流程,设备可成功被添加到指定wifi。

4、  绑定改摄像头到自己的账户即可操作摄像头。

风险分析:

         由以上测试步骤可知,某米的类smart config技术覆盖的范围差不多等于wifi热点的范围,由于采用无线技术,故墙等常见障碍物影响较小,因此,是可以对在同一栋建筑内的某米摄像头产生影响的,用户如果未对设备设置wifi,则有可能被攻击者恶意添加导致隐私泄露。

风险等级:

         中或低。必须是摄像头在未设置wifi状态下才能发生攻击,而利用难度与用户所在的使用环境也有关系,在群体出租环境中概率更高,而个人家庭则相对较低。

问题扩展:

         某米路由同样能够添加周边未设置过wifi的某米智能设备到路由上,并且连接到某米路由后,摄像头不需要和某米账户绑定也可以对设备进行操作。

解决方案:

1、  添加设备需要验证码。

2、  使用能有效控制辐射范围的类smart config技术。

 

2.2、某米和某米账户分离的账户体系存在的风险

问题描述:

         某米摄像头支持3种APP—某米、智能家庭和某米路由,某米APP使用的是某米账户体系,智能家庭和某米路由使用的是某米账户体系,意味着一个摄像头可以绑定到两个不同的账户体系下,将带来隐私泄露等风险。

测试步骤:

1、  使用手机和邮箱注册某米和某米账户。

2、  分别使用这两个账户绑定一个某米摄像头。

3、  分别在智能家庭和某米APP中操作设备,可成功实施操作。

风险分析:

风险1:如果用户A绑定了摄像头的某米账户,假如用户B拿去使用时绑定的是自己的某米账户,那么账户A仍然可以操作该摄像头,可造成隐私泄露。

风险2:由于不同的账户体系可能使用不同的安全策略,且用户可能使用不同强度的密码,根据木桶原理,一定程度增加了账户体系的脆弱性。

风险等级:

         中。需要一定的利用条件,但难度不大。

问题扩展:

         某米账户登录有防暴力破解设计,而某米账户登录则没有,因此某米实为短板。

解决方案:

1、  统一账户体系和统一登录。

2、  或做账户体系关联。

 

2.3、部分操作信令使用http传输,存在泄露cookie等风险。

问题描述:

         使用某米APP对某米摄像头进行相关操作,通过设置代理捕抓相关数据,发现APP和服务器之间部分信令使用明文的http传输,虽然进行了签名,但未存在防止重放的防御手段,降低了攻击的难度。

测试步骤:

1、  将测试手机、某米摄像头和抓包机器配置连接到同一个wifi上,为手机的网络连接设置代理,让手机的http请求转发到抓包机器上。

2、  打开某米APP,对设备进行设置操作。

3、  在抓包机器上可以捕抓到传输的http请求,如下图:

        

4、  查看请求体内容,可以看到cookie等敏感字段。

        

5、  但同时发现其在应用层进行了加密和签名,在一定程度加大了攻击难度。

风险分析:

风险1:如上所示,泄露了用户cookie,可用于伪造用户身份登录。

风险2:攻击者可通过网络嗅探到方式抓取到http信令包并进行重放攻击,比如,重放对设备进行操作的信令。

风险等级:

         高或中。使用http使得攻击难度降低,敏感信令的重放会对用户造成较大影响。

问题扩展:

         无。

解决方案:

1、  使用https代替http

2、  增加时间戳或随机数参数防止重放攻击。

2.4、某米APP二维码扫描添加设备泄露设备与用户名的绑定关系。

问题描述:

         某米APP单独支持二维码扫描添加设备,如果该设备已经被某账户添加绑定,那么APP会进行提示,泄露使用该设备的用户名,关联到大数据可产生一定风险。

测试步骤:

1、  打开某米APP。

2、  将某米摄像头绑定到某个某米账户下。

3、  使用另外一个某米账户通过扫描二维码的方式再次添加该设备,APP会提示“该账户已被用户XXX关联”,如下图所示:

风险分析:

         安全行业的大数据即是把各个互联网企业泄露出去的账户做关联,很多用户在不同的互联网应用使用相同账户名、口令、手机号或身份证号等进行注册,黑产业通过对这些信息的关联处理可以得到一个具体真实的人的信息,而用户名也是这些关联信息中的一个环节。攻击者可以通过该接口去遍历所有的设备名来获取所有已绑定设备的账户名,进行大数据攻击。

风险等级:

         低。依账户数量决定,某米注册账户量小,影响低,若为支付宝之类的大账户体系暴露批量账户名为高风险。

问题扩展:

         无。

解决方案:

         不显示具体账户名,只提示“该设备已被绑定”。

3、问题详述(服务器):

3.1、某米官网存在Struts2漏洞,可拿服务器权限。

问题描述:

         某米官网经检测,存在Structs2漏洞,

测试步骤:

1、  使用struts2测试工具测试,可执行系统命令,如下图所示:

风险分析:

         Struts2漏洞为业界公认高危漏洞,利用该漏洞可执行任意系统命令,进而最终获取服务器的最高权限。

风险等级:

         高。

问题扩展:

         无。

解决方案:

         打补丁。

 

4、总结:

         某米科技在2014年遭受过多次黑客攻击,中间也泄露过带账户名和口令的数据库,也因此提高了某米对安全的重视度,在本次测试中,取流流程完全走加密传输,信令中使用加密和签名机制,也得到了很好的体现,另外,某米科技最近频繁参与众测项目,也较大程度提升了其产品安全性。但从某米收购的厂商某米科技看,其对安全的重视度并未进行同步,若整合不当反而降低了安全性。此外,若实现一键配置提升用户体验,以上2.1存在的问题将来可能也一样会存在萤石产品上,因此需要在安全和用户体验间进行平衡和选择。

时间: 2024-12-22 15:32:31

某米摄像头安全体验报告的相关文章

某数字公司家庭卫士安全体验报告

某数字公司家庭卫士安全体验报告 1.简介:          安全小组对某数字公司安全卫士进行了简单的分析,并站在安全角度阐述了发现的问题以及使用感受. 2.问题详述(客户端/设备): 2.1.某数字公司家庭卫士公开分享未能及时断流,可造成隐私泄露. 问题描述: 问题1:          某数字公司家庭卫士支持私有分享和公开分享,公开分享意味着所有人都可观看实时视频,但当分享的用户取消分享时未能做到截断视频流,未关闭视频预览窗口的程序仍然可以继续观看视频. 问题2:          用户进行

Windows Phone 8.1不完全体验报告

在Build 2014中,微软倾心打造的Windows Phone 8.1终于粉墨登场,会场掌声不断.在大会结束后一周,经过漫长的等待,终于等到了开发者预览的推送,迫不及待地体验这一跨时代的移动系统.看到it will worth be the wait的时候,有一种说不出的激动. 此次升级包含的更新较多,所以花费了较长的时间来体验和整理,做出如下不完全报告. 更快捷的行动中心 在此次更新中,Windows Phone 8.1加入了通知中心.当从屏幕上方向下滑下时即可看到通知中心,在这里可以设置

摩拜单车深度产品体验报告

上周朋友写了一篇共享汽车的体验文章,而我最近则一直在使用摩拜单车,并且近几个月以来,"共享单车"这个名堂貌似也越来越响亮了,虽然我一直觉得这个所谓的共享的本质不过是B2C的租车模式. 基于以上的种种因素组合,我决定写一篇关于摩拜单车的体验报告,在文章的最开始我会先说明写本文的目的和本文的一些局限性. 写作目的: 摩拜单车兴起于今年8月之后,增长的速度非常快,产品迭代背后的逻辑肯定有很多值得我们学习的东西,加上摩拜单车成功解决了我上班路上的"最后一公里问题".所以就打

“租房帮”产品体验报告

一个产品体验报告需要包括哪些内容,窃以为,不用搞得很复杂,回答几个问题就可以了. 最近在找房子,体验了一下搜房网推出的app"租房帮",写了一个产品体验,当做积累,发出来,欢迎交流. 1. 这个产品是干什么的? "租房帮"是由国内最大的房地产门户搜房网出品的一款专业租房app,实时提供方圆,为广大用户提供出租.找房.找室友.短租.合租.整租.在线付房租等服务的生活类租房软件. 2. 这个产品是给谁用的? 1) 租房者年龄分布:租房的大都是20~30岁之间的年轻人.

京东app产品体验报告

京东商城APP产品体验报告 目录: 1.0体验环境 2.0产品介绍 3.0用户分析 3.1用户特征 3.2用户数量 4.0产品设计 4.1功能结构 4.2界面设计 5.0总结 1.0体验环境 .操作手机:小米手机 MI2A .操作系统:Android版本 .APP名称:京东 .APP版本:4.4.1 2.0产品介绍 京东APP以电子商品为主,自建物流,现在上线了不仅仅有京东白条,还有全球购,智能商品 3.0用户分析 3.1用户特征 (以下年龄.性别.地域数据分别来自全国范围,2015/11/01

【持续更新】是该好好写一篇完整的产品体验报告了

第一次完整地写一篇产品体验报告,未完待续~~有些视角或观点不免局限或欠缺,望各位多多指正! ONE(一个)Android端体验报告 体验设备:OPPO N5117 体验产品:ONE(一个) 软件版本:2.5 设备操作系统:Android4.3 网络:WiFi 体验人:Faye 体验时间:2015.07.29- 一.前言 1. 产品简介 在这个有着无穷多碎片的互联网世界里,用户每天面对的信息越来越丰富,然后用户每日并没有太多时间或精力去了解甚至消化所有的东西,ONE每日精选一张图.一篇文章.一个问

114DNS Public DNS+ 阿里DNS 百度DNS 360 DNS派 Google DNS公共DNS评测体验报告

114DNS.腾讯dnspod DNS.阿里DNS.百度DNS.360DNS.Google DNS公共DNS评测体验报告从ping及dig返回时间对比测试,国内DNS普遍很快,而阿里DNS最快,次之腾讯dnspod DNS,然后114DNS,百度及360DNS派中规中矩,而Google DNS还是很慢(由于众所周知的原因,你懂的)我们还是拥抱国产DNS吧,推荐腾讯DNSPOD DNS 119.29.29.29 阿里DNS 223.6.6.6和223.5.5.5 来看看各家DNS的介绍: 114

几款“理想”“习惯”应用体验报告

自从上班后,当上了程序员,就感觉自己可能跟产品无缘了,可是我能感觉到我还是有非常严重的恋产品癖的,所以给自己定下个目标,以后每周末要体验几款产品,种类不限,东东脑子,对产品进行评价和总结,从而提高自己在产品领域的认知水平. 从大四开始知道学习开始,自己就开始对实现理想.自我提升.养成习惯等行为感兴趣,于是在13年过年在家的时间趁着自学php,写了一个叫做习惯小站的网站(目前已经下线了),网站主要功能是签到,用户给自己添加一个习惯,比如:每天早起,每天进行签到,从连续签到和数字中得到满足感,从而刺

如何写产品体验报告

产品体验报告不仅仅是单单的将内容填充,没有自己的成见(没有产品sense) 1.要明确体验报告的观看者(Who) 运用产品的思维去完成一份报告,要挖掘出你的目标用户需求.包括报告的用户是谁,是什么身份什么属性,ta们最喜欢看什么内容.然后侧重点地进行阐述. 2.带着目的去写产品体验报告(Why) 这个是体现“有思想”最重要的一点.为什么要写出体验报告,处于和桑叶的目的还是自己的热爱?想要改善产品还是其他?要将自己的想法摆出来,然后在体验的过程中论证. 3.体验报告的内容要全,但不失深度(How)