佛羅里達學生髮現，即使更改密碼，也可以維護對門鈴攝像機的訪問

最近的一項研究表明 ，就在線帳戶而言，即使有證據表明他們的登錄數據可能已被破壞，用戶也不希望更改密碼。他們顯然並不特別了解與此相關的潛在危險，其中許多人已經採用了“這不會發生在我身上”的心態。

但是，如果要考慮安裝在他們家中的安全攝像頭，他們可能會更加小心。對個人隱私的潛在影響要明顯得多，用戶可能會更清楚後果，這意味著他們將使用他們必須使用的所有訪問控制工具，以確保外部用戶無法訪問其攝像頭。然而， 另一篇學術研究論文表明，這可能比看起來困難得多。

當涉及物聯網攝像機時，更改密碼並不一定意味著撤銷訪問權限

這項研究是由佛羅里達理工學院的學生布萊克·簡斯（Blake Janes）進行的，它基於一個非常合理的場景。想像一下一對叫愛麗絲（Alice）和鮑勃（Bob）的夫婦，他們住在一間裝有互聯網安全和門鈴攝像頭的房子裡。兩者都可以訪問攝像機的實時供稿並可以對其進行控制。然而，在某一時刻，兩人分道揚Bob，鮑勃退居二線。愛麗絲想確保鮑勃不再有權使用監視設備，這就是為什麼她更改攝像機密碼或使用其他可用工具來確保只有她可以看到流的原因。 Blake Janes發現，有了許多現代相機，即使更改了密碼，Bob仍可以訪問視頻流。

珍妮斯（Janes）拍攝了去年最流行的19部連接互聯網的相機，他進行的不是一個實驗，而是兩個實驗。首先，他嘗試通過更改密碼來限制對攝像機的訪問，但發現19個設備中只有3個立即將Bob鎖定。更改密碼後，某些視頻流將保持可用狀態超過30分鐘，並且其中四個攝像頭甚至還給Bob授予了控制設備的管理權限。

第二種情況涉及完全撤銷Bob的帳戶。 19台攝像機中有13台支持多個帳戶，但它們都未能立即阻止Bob進入Feed。其中八個保持開放狀態超過30分鐘。

這不是漏洞，而是設計缺陷

這些設備的身份驗證機制非常複雜。當Bob登錄到他的帳戶時，他將連接到製造商的API服務器。從那裡，他收到一個令牌，使他可以訪問託管在另一台服務器上的攝像機流。當愛麗絲更改相機的密碼或撤消鮑勃的帳戶時，她切斷了他對API服務器的訪問權限，這意味著鮑勃無法獲得新令牌。他已經有一個，但是在某些情況下，它仍然有效一段時間。

主要問題在於令牌的有效期過長，儘管Blake Janes指出了其他問題，例如，關於誰在訪問設備以及服務器本身的訪問控制策略放鬆的通知。實驗表明，谷歌的Nest相機也遇到了同樣的問題，這就是為什麼簡妮斯獲得了3000美元多一點的獎勵，這是搜索引擎巨頭的賞金計劃的一部分。

但是，當您閱讀他的研究論文時，會給您留下的印像是，這不是錯誤，而是有意識的設計決策。令牌的有效期很長，這減輕了服務器的壓力，並且不需要一直輸入用戶名和密碼。根據該論文，這些應用不會顯示持續的訪問通知，以減少所謂的警告疲勞。換句話說，所有這些缺陷都是供應商試圖使設備更易於使用的結果。

這是可用性超過安全性的又一次勝利。但是，這次涉及的設備應該能夠保護我們和我們的隱私安全，這就是為什麼某些供應商已經在解決Blake Janes研究中突出顯示的問題的原因。希望他們能盡快找到解決方案。