设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

修电脑已是过去式,艳照还能这么流出来|专访长亭科技CC(3)

发布时间:2017-09-25 21:15 所属栏目:53 来源:雷锋网
导读:“相机就算玩出花,也没有智能手机上一个小漏洞的危害大。相机上面没有你的社交关系,没有你的聊天记录,没有你编辑到一半的周报,更不会有人 24 小时保持相机开机让自己有能被偷窥、偷录的机会……”CC说。 因此这

“相机就算玩出花,也没有智能手机上一个小漏洞的危害大。相机上面没有你的社交关系,没有你的聊天记录,没有你编辑到一半的周报,更不会有人 24 小时保持相机开机让自己有能被偷窥、偷录的机会……”CC 说。

因此这种攻击实际上具有较大局限性,但作为勒索病毒的宿主,相机一旦中招,用户可能真的只能破财,大骂一声“缺德”。

这样看来,CC 为什么要展示这样一种攻击?看起来好像也不会产生太大的影响。

他不这么认为。

作为一个摄影爱好者,CC 认为,相机的目标用户是不满足于手机拍摄效果的人。

手机厂商再怎么吹捧自己的产品,那都是给普通消费者看的。手机的轻便无可比拟,而相机在画质、外设等方面都具有物理上的优势。传感器尺寸、镜头之类完全都没有可比性。因此,相机里记录的就不仅仅是开饭、自拍和 45 度仰望天空,而可能是更值得留念的瞬间。

修电脑已是过去式,艳照还能这么流出来|专访长亭科技CC

所以,在演示环节里,CC 加入了勒索病毒的演示效果,对照片进行加密,以及限制设备的正常使用,这是他觉得最危险的一点。

这个“摄影爱好者”的原话是:“满载回忆的相机突然弹出了陌生的界面,打开存储卡一看照片都被加密了,肯定是很难受的。除了普通人,一些职业风光和婚礼摄影师也在使用微单进行创作。对于他们来说,丢失原片那就是重大事故。因为相机中了恶意软件而导致付诸东流,无论物质还是精神上的损害都是相当大的。”

修电脑已是过去式,艳照还能这么流出来|专访长亭科技CC

其实,此次破解的终极目的是一次提醒:当一切电子产品、家居变得越来越智能化,曾经在个人电脑上的传统威胁就可以找到新的滋生土壤,甚至能直接在物理世界造成破坏。

智能硬件由于本身的计算能力限制,甚至本身的设计缺陷,在安全防御上落后于个人电脑。一些智能硬件产品会默认周围所处的网络环境是可信任的,给了黑客很多机会。

普通用户和厂商应该怎么办?

1.对于普通用户来说,不需要过于紧张,在前文中提到的攻击手段都需要一定的条件——连 Wi-Fi,开应用市场。

2.对有智能 App 需求的职业摄影师来说,一定要选择官方渠道购买安装应用和升级固件。App 安装可以完全在电脑上操作,因此尽量不要直接使用相机自带的应用市场通过 Wi-Fi 下载。

前面也提到,另一市场占有率更具优势的单反相机品牌可以通过卡刷切换开源固件,有喜欢动手折腾相机的玩家也要注意自己下载回来的固件是不是值得信任的。

3.需要说明的是这次演示的漏洞不在 Wi-Fi 传图功能中,而且 Wi-Fi 传图需要手机接入相机自身的热点,即使有人找到了可攻击的漏洞,首先还要获得热点随机生成的密码。

在分析的过程中可以看到厂商在定制系统的时候已经尽可能地减小了攻击面,比如 Wi-Fi 传图的热点是随机生成的密码,在代码逻辑中还可以看到不少针对潜在攻击输入的过滤。

虽然这次使用的漏洞与开源软件无关,但应用市场本身还是受到浏览器漏洞的威胁,加之其版本较低,可以使用的漏洞利用恐怕能列出来很长一串。其实对于这种硬件客观具有局限性,也保证保持软件持续更新的产品(不像手机可以通过网络进行 OTA),尽可能减少攻击面也可以让黑客难以下手。

——以上建议由 CC 提供。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读