运动型摄像机风险分析与防范

运动型摄像机风险分析与防范

1、简介:

         运动相机是几乎户外极限运动爱好者的必备,就世界范围而言,Google的GoPro无疑最具代表性,GoPro相机是一款小型可携带固定式防水防震相机。GoPro的相机现已被冲浪、滑雪、极限自行车及跳伞等极限运动团体广泛运用,因而“GoPro”也几乎成为“极限运动专用相机”的代名词。

         当然,这篇文章并不是来分析GoPro安全性,而是自己团队在设计和开发类似产品时时考虑到的一些安全问题,偏着重于用户隐私可能会面临的风险以及相关解决建议。以下简称该产品为SC(Sport Camera)。

2、总体架构:

2.1、架构图:

 

2.2、架构说明:

(1)、SC自身可以产生一个softAP,手机APP可以通过wifi和SC直连通信,读取和管理存储在SC内部的数据,比如:录像和图片等,同时还可以给SC配置需要连接的wifi。

(2)、通过步骤1连接外部的路由器wifi后,SC即可连接互联网,而手机也是可以连接路由器wifi的,这意味着:如果手机和SC在同一个局域网内,则也可以通过路由器wifi直接进行通信;如果手机和SC 不在同一个局域网内,则可以通过云平台进行数据转发,实现远程观看视频和管理图片等功能。

(3)、SC同样支持3G/4G直连到云平台,实现在户外进行视频直播。

3、风险分析:

风险1、用户使用不当造成隐私泄露。

         运动型摄像头和家用摄像头的明显区别在于:可携带性,一般而言,家用摄像头放在比较固定并且隐私性没那么高的地方,比如:门口和客厅等,而对于SC而言,其支持用户在户外通过3G/4G网络进行直播分享,考虑这样一种情况:用户回到家后可能忘记关闭直播,并将SC带到卧室等隐私的地方的,最终可能导致用户隐私泄露。

风险2、安全策略退化:

         SC在初期就定位为一款消费式的娱乐摄像头,所以其安全策略的定位也和传统家用摄像头有区别,在传统的家用摄像头上,安全策略是偏严格的,比如对当对设备实施敏感操作(比如进行视频分享、关闭加密等)时,都需要进行短信验证码的二次确认,但如果在 SC上使用如此偏严格的设计,将会导致用户体验受到不小的影响,因此,使用了相对宽松的安全策略,目前至少是对一些敏感操作已不做二次验证。考虑到这样一种情况:用户可能会把SC当作家用摄像头使用,而由于其安全策略的退化将得不到家用摄像头的保护级别,如果一旦被攻击,最终也会导致隐私泄露。

风险3、局域网攻击:

         传统的家用摄像头一般是用在家里或者商铺,所以连接的wifi是比较固定的,一般是自己的路由wifi,而S1是有随身携带属性的设备,用户出去游玩的时候,可能会去到咖啡厅、商场等场所,并使用这些场所的公共wifi,这意味着SC接入公共wifi网络的几率要比传统家用摄像头要大得多,而针对公共wifi的攻击新闻以及数不胜数,故SC泄漏隐私数据的几率也是要大得多的。

风险4、直连softAP攻击:

         SC在启动softAP模式后,本身也是一个AP,也可能遭受常见的无线攻击,比如暴力破解等,由于SC只是定位于户外娱乐的,用户有极大概率不会为其设置复杂度高的密码,可以想象,一旦softAP密码被攻破,攻击者将可任意操作或窃取存储在SC上的数据,导致敏感数据被盗取。

         此外,SC要实现自动连接wifi,必定会对此加密存储路由器wifi的密码,如果攻击者成功入侵到SC,就有可能破解路由器wifi密码的明文,进而再利用该密码连接路由器的wifi,以进一步渗透到家庭网络内网。

4、解决方案分析:

风险1:

         如果用户使用3G/4G在直播,并且图像停止不变超过一定的时间则自动停止直播(也可以加上地理位置一起判断,比如如果设备上传的地理位置不在住宅区内),如果考虑用户体验问题,此选项也可作为用户可选,但跟用户说明此选项为省电而存在。

风险2:

         (1)、将退化的安全策略全部做成可选项,以适应对安全性有高要求的用户的需求。

         (2)、在产品使用手册上明确不建议用户把SC当成家用摄像头来使用,可以跟用户解析说会影响到SC使用时长。

风险3:

         (1)、SC设备开放的服务有些是通过softAP直连模式才需要,而当SC连接到路由器wifi时,完全可以关闭掉,比如:http、rtsp等,对于仍然需要打开的服务,可以默认使用softAP的密码进行认证,并提供相关防止暴力破解的措施。

         (2)、在设备连接wifi时弹框说明连接公告wifi的风险,出于用户体验,用户可要求不再提示。

风险4:

         不要将wifi密码加密密文存放在SD card等公共存储区域,而是存在只有底层设备固件才能访问的区域,并且使用硬件信息动态生成密钥,即不存储密钥。

5、总结:

         对于智能家居安防行业而言,在安全方面,鄙人认为,和互联网最大的区别在于:对用户隐私的保护要考虑得更广更深了,作为物联网行业的一个典型应用,攻击者可以通过设备感知层来获取关于用户的更多的个人信息,如果这些信息被恶意传播或关联利用,势必会对用户造成极大的负面影响,也因此可以看出,智能家居的发展和隐私安全保护是有极大关系的,目前亟需制定一套相关的安全标准来实施解决相关的安全问题。

时间: 2024-12-26 07:28:53

运动型摄像机风险分析与防范的相关文章

如何处理“新技术开发”和项目管理之间的关系

在新产品研发过程中,会时常采用新的技术和方法,无论是用户,或者是上层领导决定的,对于项目来说,肯定是有一定的风险,处理不当,甚至可能导致项目的失败. 但是,采用新的技术和方法会给项目带来很多的好处,例如:产品功能的更加丰富.强大,项目开发的进度加快.成本降低.质量提高等.另一方面,对于产品开发过程里的每个人而言,都是一个不小的挑战,收获也会很大.这也是为什么阿里.百度.腾讯等公司能吸引大批优秀开发者的原因之一吧! 一般来讲,对于公司的发展战略有直接支持的新技术或多个产品有共性的新技术,应该放在公

案例分析

案例分析介绍案例分析及需要注意的几点 根据软考命题的习惯,一般系统集成项目管理工程师的考试下午案例分析会有5道大题,全部以问答题的形式出现,满分为75分.下午试题I对于考生的基本要求将体现在: 需要具有一定的项目管理实践经验,有较好的分析问题和解决问题的能力. 对于有关项目管理方面,有广博而坚实的知识或见解. (3)对应用的背景.事实和因果关系等有较强的理解能力和归纳能力. (4)对于一些可以简单定量分析的问题已有类似经验并能进行估算,对于只能定性分析的问题能用简练的语言抓住要点加以表达. (5

传统目标检测方法的比较

· 适用范围 优点 缺点 帧 差 法 (1)摄像头固定场景: (2)实时性要求高: (3)目标的信息要求不高: (1)对运动目标敏感: (2)计算简单: (3)检测速度快.实时性高: (1)光线变化快时,算法失效: (2)缓慢运动和背景颜色一致时不能提取出特征像素点: (3)相邻帧之间目标重叠部分不能检测来: 背 景 减 除 法 (1)摄像头固定: (2)实时性要求不高: (3)目标信息要求高: (1)速度快,检测准确,易于实现, (2)能够达到实时检测视频中运动物体的要求 (3)轮廓完整,信息

分享)移动金融安全风险分析与防护

4月23日,由新华网主办的“互联网金融创新与发展”专场主题会议在新华网演播厅举办.会议邀请政府部门.知名金融机构.互联网安全公司.互联网金融公司以及专业媒体等代表出席,共同探索互联网金融的发展形势及如何防范互联网金融的各种风险.爱加密CEO高磊作为受邀嘉宾出席并现场做“移动金融安全风险与防护”演讲,与到场人士共同探讨移动金融安全问题. 移动金融遍地开花,安全问题成应用噩梦 互联网技术的发展推动金融技术的革新,人们开始通过互联网来理财.支付.融资,这使人们的生活更加便利.快捷.但是,便随着各种便捷

新5G时代,新系列产品,雄迈发布4G摄像机模组

雄迈4G模组已强势推出,受到众多客户青睐和好评.雄迈坚持持续为客户创造价值,积极响应客户需求,在4G模组国内版的基础上,推出了海外版本的4G模组,满足国内外客户需求. 一.国内海外模组总览 海外版本SIM卡支持制式和频段列表:制式频段支持列表国内版本标配电信4G Nano SIM卡,本卡为定制专用4G卡,已与模组绑定,不可拆卸挪作他用. 二.增值服务:流量分成机制 雄迈针对4G模组(国内版)制定了流量费用分成机制,终端客户购买流量费用与经销商分成,实现利益共享.而且经销商还可以自定义流量套餐价格

液晶拼接屏解决方案助力小区安全防范

科技的进步和经济水平发展使得整个社会生活水平的提高,但同时,各种危害到社会安定和人民的生命财产安全的犯罪也层出不穷,新的形势对现有的保安监控体系提出了新的挑战.尤其是对于人们生活的小区而言,安全防范是必不可少的硬件设施之一.小区由于面积大,住户多,人员车辆流动频繁,对安防监控系统的需要显得尤为突出.良好的监控系统可以为小区居民提供一个良好的休息生活环境.保证小区居民的人身及财产安全.通过安装的全天候监控设备,全天候24小时成像,实时监控大楼内各个场所包括周界围墙.室外停车场.地下停车场.大楼出入

爱创课堂每日一题第十二天 XSS原理及防范?

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码.比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息:或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点.XSS防范方法首先代码里对用户输入的地方和变量都需要仔细检查长度和对"<",">",";",&q

网络摄像机IPCamera RTSP直播播放网络/权限/音视频数据/花屏问题检测与分析助手EasyRTSPClient

前言 最近在项目中遇到一个奇怪的问题,同样的SDK调用,访问海康摄像机的RTSP流,发保活OPTIONS命令保活,一个正常,而另一个一发就会被IPC断开,先看现场截图: 图1:发OPTIONS,摄像机立马断流 图2:但在另一个程序中发OPTIONS保活包又不断流 在大部分的摄像机上,都没什么问题,单单在海康的这一款摄像机中出现了这种问题,不仔细对比命令行中的输出,根本无法确定问题点,图2中的OPTIONS报文中携带了Authorization的头字段,将认证信息都带入了进来,而图1中只是简单将用

基于EmguCV的摄像机标定及矫正

标签: EmguCV摄像头标定C# 2015-05-03 14:55 501人阅读 评论(6) 收藏 举报  分类: C# 版权声明:本文为博主原创文章,未经博主允许不得转载. 目录(?)[+] 前言 之前用OpenCV做过摄像机标定及矫正,现在平台换了,改用C#,就用EmguCV做一下,其实就是OpenCV的C#版. 在EmguCV中有两类摄像机标定的类,一个是CvInvoke类,一个是CameraCalibration类,两种标定效果差不多,只不过CvInvoke涉及的函数大多都是指针类型的