book      

 

延續上一篇文章 【網路攝影機遭偷窺?! 看這裡,防偷窺好簡單!】

http://aethersi.pixnet.net/blog/post/365380545

探討雲端物聯APP產品的安全性, 必須清楚了解該產品的雲端伺服器及APP軟體來源!

 

Screenshot_2015-07-25-09-05-30-763    

我們常常看到這樣的APP軟體說明,但到底要如何判斷軟體的清白呢?

 

第1招 『名稱一致性』:APP名稱與產品名稱一致、或與負責服務行銷的廠商名稱一致,這樣認明開發者身分。山寨機搭售的APP因為都是外包開發模式,通常具有簡易而奇怪名稱的特性。

 

第2招 『明確提供者』:APP提供者的公司,要可查詢且名稱正常的科技公司(或有研發單位的公司),而不是貿易商類型,或令人感覺牛頭不對馬嘴的營業項目。萬無一失的作法是建議上網嘗試搜尋。

 

第3招 『開發者郵件』:APP開發人員聯絡E-Mail,應該是公司的E-Mail,而非個人信箱(如xxx@qq.com、xxx@163.com等中國大陸常用的個人信箱)。

 

第4招 『更新維護日』: APP的維護會經常更新。如超過三個月沒更新的APP,基本上代表沒有隨著用戶的回饋、反應而改善修正。而通常山寨機APP開發者因為無正常利潤,是不會頻繁更新升級的。

 

第5招 『人機要綁定』:正規的雲端物聯產品APP設計,都會有帳號密碼登入的認證步驟,然後以產品ID與該帳號綁定的方式管理,形成產品歸屬於該帳號的資產管理模式。其他人(帳號)未經授權,是無法單靠產品ID/密碼資訊就接入該產品。

然而,幾乎所有山寨機的APP與其產品註冊配對方式,都只用了一組產品ID及密碼驗證,造成可以多人重複配對該產品,即「一個產品多主人」的安全漏洞。

雲端物聯產品被用戶買回家,本來就是該用戶的資產,卻出現其他人也可重複註冊配對,最後造成駭客有機可乘的漏洞。無論產品ID/密碼設定多複雜,這是雲端系統設計的基本瑕疵。

 

擺放在家中的連網設備,肯定在安全性上要多考慮多查看;撿了低價便宜卻虧大了生活品質與隱私,終究還是會把這樣的產品丟入垃圾桶。這樣划算嗎?

 

文章標籤
創作者介紹

安心加族

安心加族 發表在 痞客邦 PIXNET 留言(0) 人氣()