测试 IP 镜头帐户安全

我测试了10个我在亚马逊“热销新品”和“畅销商品”类别中找到的不同IP安全摄影机的帐户安全性。

介绍

当COVID19疫情在欧洲扩散时，我和许多人一样，被迫在家工作。在家时，我想找一些可以轻松进行研究的事情。我希望专注于一些不需要实体设备拥有的内容。这时，我想到了一个主意：云端连接的IP摄像机安全。我将重点放在这些IP摄像机的帐户安全上。

2019年12月，Vice上发表了一篇文章，讲述了一位记者的同事如何骇入亚马逊Ring安全摄像机，该记者描述了当时摄像机帐户安全的不足。几个月后，我很好奇其他智能摄像机供应商对这一消息的反应，是否采取了一些最佳实践来保护用户的帐户不受暴力破解攻击的影响。

因此，在2020年5和6月，我决定检查随智能摄像机附带的应用程式是否包括两步骤验证选项，向拥有者发送通知，告知有人试图从新设备登录或成功登录，特别是当登录尝试来自看似在世界另一端的设备时。

方法学

我选择了10个不同的IP安全摄像机来自不同供应商，每个使用不同的应用程式来连接，并具有云端功能，这些摄像机我在亚马逊的“热销新品”和“畅销商品”类别中找到。

我实际上并没有购买这些摄像机，而是下载了用来连接和控制它们的应用程式。我想出了一个虚构的人，名叫“Walter Duchesne”，并为他创建了一个Google帐户。我在手机上安装了10个摄像机的应用程式，并为Walter创建了帐户。成功登录后，我检查了更改帐户密码和设置两步骤验证的选项。

然后，我使用一部第二部手机并安装了VPN应用，连接到中国的伺服器，这样从第二台设备发送的通信会通过该伺服器，并且所有从该设备发送的内容看起来都来自位于中国的设备。

我故意尝试使用连接到VPN的第二台设备登录Walter的帐户。我使用错误的密码超过10次，以查看应用程式是否检测到任何类似暴力破解的尝试。在那之后，我使用正确的登录凭证进入Walter的帐户，看看他是否收到了来自不同设备和位置的新登录通知。接著，我检查了应用程式与制造商伺服器之间的通信是否加密。这些小研究的结果可以在下表中找到：

IP Camera App 名称 应用下载数量Google Play 一次性密码OTP 暴力破解保护 新设备通知 密码限制Blink 1M 通过电子邮件仅限添加新设备 是 是需要OTP，通过电子邮件发送 无Wyze 1M 短信/身份验证应用用户必须输入代码以启动 是用户未被通知尝试 否 无YI IOT 100K 否 否 是用户每次新登录都会收到通知 最大长度16个字元YI Home 1M 否 否 是用户每次新登录都会收到通知 最大长度16个字元Wansview Cloud 100K 否 否 否 最大长度16个字元MIPC 500K 否 否 否 无Jawa 50K 否 否 否 无CloudEdge 100K 否 否 否 最大长度20个字元Amcrest Cloud 50K 否 否 否 无iCSee 1M 否 否 否 最大长度32个字元

结果

当我开始研究时，我以为所有应用的帐户安全水平会有所不同，但实际情况却有点不同。我观察到的只是两个层级。一个是需要一次性密码才能从新设备登录，另一个则完全没有保护措施。当然，我有些夸张，幸运的是所有应用在与云端通信时都使用了加密，并且所有应用都要求用户设置登录凭证才能访问帐户，但并不是所有应用都要求使用强大且复杂的密码，也没有提供任何类型的通知或暴力破解保护。你可能会问，为什么通知这么重要。它们在密码泄露或帐户凭证被暴力破解的情况下至关重要。我能在几乎所有应用上尝试登录超过10次，具体细节如下。

好的、不好的和糟糕的

在我调查的十个应用中，只有两个拥有我认为可以接受的帐户安全措施。我希望所有的应用都有某种形式的两步骤验证最好是通过身份验证应用，没有设置密码最小长度一些应用将密码长度限制为16个字元，并且能通知用户有新的设备或来自未知位置的登录。

在我调查的十个应用中，提供最佳基本帐户安全的两个应用是Blink和Wyze。Blink要求用户输入一次性密码以添加新设备，要求一次性密码以更改帐户密码，通知用户有暴力破解尝试，并在使用新设备登录时通知用户。Wyze表现良好，因为它提供了两步骤验证，虽然这并不是预设启用的，但至少允许用户选择将身份验证码发送至手机短信或身份验证应用，这样可以降低任何人获得访问权的风险，前提是用于帐户的电子邮件帐户未受到威胁。关于Wyze，一旦登录尝试次数过多，该应用还会通知用户，不是帐户的拥有者，而是尝试登录的用户。

进一步检视10个应用

Blink

Blink由亚马逊拥有，我们可以清楚地看到Ring事件对他们在帐户安全方面的影响。要在新设备上登录，用户必须通过电子邮件发送的一次性密码授权新的登录。在多次登录尝试失败后，新的尝试会被拒绝，并且用户会通过电子邮件收到通知。

新设备验证码 Blink应用的暴力破解通知

这几乎是我所期望的，我唯一希望看到的是其他获得一次性密码的方式，而不仅是通过电子邮件。如果某个密码或登录详细信息在数据泄露中被包含在内，用户很可能在他们的电子邮件帐户和Blink帐户使用同一个密码，从而使一次性密码有被攻击者拦截的风险。此外，更改帐户密码时也需要通过电子邮件获取一次性密码。

更改密码时的验证码

Wyze

第二个在帐户安全方面表现尚可的应用是Wyze。该应用能有效保护帐户不被暴力破解，但它并不通知用户登录尝试次数过多，而是通知尝试登录的人登录失败了太多次。

暴力破解保护

Wyze支持透过短信或身份验证应用的两步骤验证，但这并不是预设启用的。如果在未启用两步骤验证的帐户上尝试登录，则不会通知用户。对于任何拥有Wyze摄像机但尚未启用此选项的人，我强烈建议打开两步骤验证。该应用的缺点是，即使用户新设备登录时不会通知用户，只有在启用两步骤验证的情况下才会间接获悉。

Wyze 2FA设置过程

YI IoT

该应用对我来说是最具争议的。一方面，有来自不同设备的登录通知，另一方面，找不到更改帐户密码的选项我必须点击个人资料图片才能进入设置，而且密码长度限制为最多16个字元，这是非常不幸的。

登录通知

密码最大限制16个字元

YI Home

YI Home来自与YI IoT相同的开发者。唯一不同之处在于设计。我发现与新设备登录相关的通知有时会延迟到达，或者根本未显示，这可能是由于网络问题造成的。

YI IoT YI Home YI IoT和YI Home并排比较

Wansview Cloud

此应用在帐户安全方面没有任何保护。与YI Home和YI IoT类似，Wansview Cloud限制了密码的最大长度，只允许密码长达16个字元。用户唯一能够检测到有人连接到该应用的方式是被踢出登录，因为该应用不允许同时连接。对我来说，更好的选择是通知帐户用户有新帐户登录，但允许多个用户同时控制摄像机。

UI Wansview Cloud应用最大16个字元密码

MIPC

MIPC没有提供暴力破解保护或通知。密码重设程序通过HTTP传输，意味著它未加密并且可能被拦截。

MIPC UI

Jawa

Jawa是一个完美的例子，可以说该应用的帐户安全属于中等水平。它没有提供两步骤验证，没有关于新登录的通知，也没有暴力破解保护，但至少没有对密码长度施加限制，且密码重置程序是合理的通过HTTPS完成，并需要通过电子邮件发送的一次性代码。

UI Jawa应用最大40个字元密码

CloudEdge

该应用的一个好功能是，如果用户更改或重置他们的密码，则需要使用通过电子邮件发送的一次性密码。密码限制在20个字元，这比16个字元要好，但无限制的字元长度会更好。该应用并未对暴力破解攻击提供任何保护，也没有通知用户新设备登录，也未提供登录的两步骤验证。

密码变更程序

Amcrest Cloud

与Jawa应用类似，该应用不提供两步骤验证或有关新登录的通知。好的一面是，该应用允许密码长度超过60个字元，并且要求用户在重置密码时输入通过电子邮件发送的一次性密码。

超过60个字元的密码 密码重设程序Amcrest Cloud应用

iCSee

与Amcrest Cloud应用类似，iCSee唯一显著的帐户安全措施是将密码长度限制在32个字元，这比Amcrest应用的60个字元限制或Jawa用户设置无限制字符数的密码要差，但比我们分析的大部分应用要好。

更改密码程序，无需OTP 密码重设程序 iCSee 密码程序

建议

在考虑购买用于家庭或办公室空间的云连接IP摄像机时，不仅要查看设备的软体更新频率，还要考虑随附应用提供的帐户安全级别。理想情况下，应用应提供两步骤验证最好通过身份验证应用，没有设置密码长度的最大限制一些应用将密码长度限制为16或20个字元，并且能通知用户有新的设备或来自新位置的登录。

自助测试

如果在寻找摄像机时想要检查附带应用的帐户安全性，你也可以做我们所做的！

你将需要两部手机，其中一部需安装VPN我们推荐使用Avast SecureLine VPN ，并允许选择要连接的伺服器，该伺服器位于你所在城市的其他城市，然后你需要执行以下步骤：

Tagged as 2FA account bruteforce iot ipcam security

分享：XFacebook