• [安全测试报告]某数字公司家庭卫士安全体验报告


    某数字公司家庭卫士安全体验报告

    1、简介:

             安全小组对某数字公司安全卫士进行了简单的分析,并站在安全角度阐述了发现的问题以及使用感受。

    2、问题详述(客户端/设备):

    2.1、某数字公司家庭卫士公开分享未能及时断流,可造成隐私泄露。

    问题描述:

    问题1

             某数字公司家庭卫士支持私有分享和公开分享,公开分享意味着所有人都可观看实时视频,但当分享的用户取消分享时未能做到截断视频流,未关闭视频预览窗口的程序仍然可以继续观看视频。

    问题2

             用户进行私有或公开分享时,不需要做二次身份验证,用户只需同意相关免责条款即可。

    测试步骤:

    1、  登录账户A,并将摄像头设置为公开分享。

    2、  使用账户B登录并查看实时预览,并保持窗口处于打开状态。

    3、  账户A取消公开分享。

    4、  账户B仍然可以继续观看账户A分享的视频。

    5、  账户B退出预览窗口并重新刷新,此时再次尝试取流就会失败。

    风险分析:

    问题1

             用户取消公开分享可能意味着用户顾及个人隐私不愿意继续公开,如果不能及时断流,意味这用户的隐私随时可能暴露在公众面前,最终可能导致企业和用户的信誉两败俱伤。

    问题2

             视频监控行业的用户隐私相当于支付行业的用户资金,一旦失窃都能造成各自不一样的影响。在病毒木马疯狂盛行的今天,账户被盗并不少见,因此只使用登录账户来保护用户核心资产安全是不够的,二次认证的主要目的在于可以更好地确保该敏感操作是来自用户的,某数字公司在共享等敏感操作上未实施二次认证,隐藏着账户被盗后隐私泄露的风险。

    风险等级:

             高或中。风险等级与用户是否因隐私问题关闭分享有关。

    问题扩展:

             某数字公司支持个人分享和公开分享,两种分享都支持分享者使用“录像”和“拍照”的功能,该功能意味着被分享者可以随时保存静态视频并进行传播,而分享者并不能设置被分享者是否可以拥有这两项权限,结合本问题来看,危害可进一步扩大。

    解决方案:

    1、  分享者取消分享及时掐断视频流。

    2、  敏感操作做强二次认证,比如短信验证码等。

    3、总结:

    3.1、亮点:

    3.1.1、基础安全扎实。某数字公司是以安全发家的公司,拥有强大的安全团队,有足够实力保证相关产品的基本安全品质,举例如下:

    1)、手机APP和设备信令几乎全部通过SSL来传输。

    2)、手机APP加入了防反编译、反调试和验证证书有效性等安全手段,还提供手势密码。

    3)、测试中很难发现常见的安全漏洞。

    3.1.2、引入声波技术解决类smart config的安全问题。基于wifismart config技术由于辐射的距离里问题,存在以下两个安全问题:

    1)、wifi的密码被辐射范围内的人窃听。

    2)、辐射范围内的新或重置设备能够被恶意添加。

    目前通过加密或其他手段进行解决或缓解,但都带来了用户体验差的问题,而某数字公司选用基于声波的smart config能够比较好的解决以上问题(声波具有距离短和不可穿墙的特点),个人猜测某数字公司的这种方案也是有基于安全方面的因素来考量。

    3.2、不足:

    3.2.1、对用户的隐私保护不够充分,主要体现在一下几点:

    1)、取消公共分享时未及时断流(参考问题详述),这也体现了当初产品安全设计和测试时考虑不充分。

    2)、视频流不支持加密。

    3)、关键操作没有强二次验证机制(参考问题详述)。萤石目前有硬件特征码绑定和短信验证码作为二次校验机制。

  • 相关阅读:
    页面加载完没有其他操作的情况下直接获取音频时长为NAN问题
    关于mysql的一些操作
    阿里云服务器登录不上 提示:之前用于连接到 (公网ip) 的凭据无法工作(1核1G) 以及阿里云新版本安全组策略没有开启80端口导致网站只能ping通 访问不到的问题
    微信浏览器禁止页面下拉查看网址(不影响页面内部scroll)
    2018年11月17号第一次参加源创会记录
    使用了eclipse10年之后,我终于投向了IDEA
    spring/spring boot/spring cloud书籍推荐
    python数据库连接例子
    Spring Cloud Eureka配置文件例子与较为详细说明
    spring源代码下载并导入eclipse技巧
  • 原文地址:https://www.cnblogs.com/fishou/p/4191452.html
Copyright © 2020-2023  润新知