运动型摄像机风险分析与防范
1、简介:
运动相机是几乎户外极限运动爱好者的必备,就世界范围而言,Google的GoPro无疑最具代表性,GoPro相机是一款小型可携带固定式防水防震相机。GoPro的相机现已被冲浪、滑雪、极限自行车及跳伞等极限运动团体广泛运用,因而“GoPro”也几乎成为“极限运动专用相机”的代名词。
当然,这篇文章并不是来分析GoPro安全性,而是自己团队在设计和开发类似产品时时考虑到的一些安全问题,偏着重于用户隐私可能会面临的风险以及相关解决建议。以下简称该产品为SC(Sport Camera)。
2、总体架构:
2.1、架构图:
2.2、架构说明:
(1)、SC自身可以产生一个softAP,手机APP可以通过wifi和SC直连通信,读取和管理存储在SC内部的数据,比如:录像和图片等,同时还可以给SC配置需要连接的wifi。
(2)、通过步骤1连接外部的路由器wifi后,SC即可连接互联网,而手机也是可以连接路由器wifi的,这意味着:如果手机和SC在同一个局域网内,则也可以通过路由器wifi直接进行通信;如果手机和SC 不在同一个局域网内,则可以通过云平台进行数据转发,实现远程观看视频和管理图片等功能。
(3)、SC同样支持3G/4G直连到云平台,实现在户外进行视频直播。
3、风险分析:
风险1、用户使用不当造成隐私泄露。
运动型摄像头和家用摄像头的明显区别在于:可携带性,一般而言,家用摄像头放在比较固定并且隐私性没那么高的地方,比如:门口和客厅等,而对于SC而言,其支持用户在户外通过3G/4G网络进行直播分享,考虑这样一种情况:用户回到家后可能忘记关闭直播,并将SC带到卧室等隐私的地方的,最终可能导致用户隐私泄露。
风险2、安全策略退化:
SC在初期就定位为一款消费式的娱乐摄像头,所以其安全策略的定位也和传统家用摄像头有区别,在传统的家用摄像头上,安全策略是偏严格的,比如对当对设备实施敏感操作(比如进行视频分享、关闭加密等)时,都需要进行短信验证码的二次确认,但如果在 SC上使用如此偏严格的设计,将会导致用户体验受到不小的影响,因此,使用了相对宽松的安全策略,目前至少是对一些敏感操作已不做二次验证。考虑到这样一种情况:用户可能会把SC当作家用摄像头使用,而由于其安全策略的退化将得不到家用摄像头的保护级别,如果一旦被攻击,最终也会导致隐私泄露。
风险3、局域网攻击:
传统的家用摄像头一般是用在家里或者商铺,所以连接的wifi是比较固定的,一般是自己的路由wifi,而S1是有随身携带属性的设备,用户出去游玩的时候,可能会去到咖啡厅、商场等场所,并使用这些场所的公共wifi,这意味着SC接入公共wifi网络的几率要比传统家用摄像头要大得多,而针对公共wifi的攻击新闻以及数不胜数,故SC泄漏隐私数据的几率也是要大得多的。
风险4、直连softAP攻击:
SC在启动softAP模式后,本身也是一个AP,也可能遭受常见的无线攻击,比如暴力破解等,由于SC只是定位于户外娱乐的,用户有极大概率不会为其设置复杂度高的密码,可以想象,一旦softAP密码被攻破,攻击者将可任意操作或窃取存储在SC上的数据,导致敏感数据被盗取。
此外,SC要实现自动连接wifi,必定会对此加密存储路由器wifi的密码,如果攻击者成功入侵到SC,就有可能破解路由器wifi密码的明文,进而再利用该密码连接路由器的wifi,以进一步渗透到家庭网络内网。
4、解决方案分析:
风险1:
如果用户使用3G/4G在直播,并且图像停止不变超过一定的时间则自动停止直播(也可以加上地理位置一起判断,比如如果设备上传的地理位置不在住宅区内),如果考虑用户体验问题,此选项也可作为用户可选,但跟用户说明此选项为省电而存在。
风险2:
(1)、将退化的安全策略全部做成可选项,以适应对安全性有高要求的用户的需求。
(2)、在产品使用手册上明确不建议用户把SC当成家用摄像头来使用,可以跟用户解析说会影响到SC使用时长。
风险3:
(1)、SC设备开放的服务有些是通过softAP直连模式才需要,而当SC连接到路由器wifi时,完全可以关闭掉,比如:http、rtsp等,对于仍然需要打开的服务,可以默认使用softAP的密码进行认证,并提供相关防止暴力破解的措施。
(2)、在设备连接wifi时弹框说明连接公告wifi的风险,出于用户体验,用户可要求不再提示。
风险4:
不要将wifi密码加密密文存放在SD card等公共存储区域,而是存在只有底层设备固件才能访问的区域,并且使用硬件信息动态生成密钥,即不存储密钥。