记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

DeWiCam: Detecting Hidden Wireless Cameras via Smartphones

2019-01-22 19:25

作者:Yushi Cheng, Xiaoyu Ji, Tianyang Lu, Wenyuan Xu

单位:Ubiquitous System Security Lab (USSLAB), Zhejiang University, Alibaba-Zhejiang University Joint Institute of Frontier Technologies

会议:ASIA CCS’18

链接:https://dl.acm.org/citation.cfm?id=3196509


无线摄像机广泛应用于监控系统中,用于安全防护。然而,与未经授权的录像有关的隐私问题最近引起了越来越多的关注。用于未授权无线摄像机的现有检测方法要么受到检测精度的限制,要么受到专用设备的限制。在本文中,作者们提出了DeWiCam,一种使用智能手机的轻量级和有效的检测机制。 DeWiCam的基本思想是利用来自无线摄像头的固有流量特征。与传统的流量模式分析相比,DeWiCam更具挑战性,因为它无法访问数据包中的加密信息。然而,DeWiCam克服了这个难题,可以可靠地检测附近的无线摄像头。为了进一步确定相机是否在感兴趣的房间,作者们还提出了一种人工辅助识别模型。其可以在Android平台上实施DeWiCam,并通过对20台摄像机的大量实验对其进行评估。评估结果表明,DeWiCam可以在2.7秒内检测到相机,精度在99%左右。

1. Introduction

目前无线的监控设备由于其不需要布线,已经在许多电子市场上得到了广泛的推荐。但是其带来的隐私问题近年来也在不断被人们所提及,尤其是在诸如Airbnb等出租房屋当中,因此如何检测、发现周围环境中可能存在的无线摄像头的重要性也逐步增加。作者们首先在Apple Store和Google Play中发现了一些声称可以检测相机的应用。但是,经过评估,他们发现其无法可靠地工作。这些应用程序声称使用以下方法之一:

  • 基于光反射的方法,检测来自相机镜头的微小反射的迹象

  • 基于电磁场(Electromagnetic Interface,EMI)的方法,识别来自工作中相机的电磁泄漏。

    两种方法都假设用户知道相机的大致位置,但情况并非总是如此。此外,其还发现了一种专用设备(称为无线摄像头射频探测器),声称通过检查2.4 GHz或5 GHz的射频信号来探测隐藏的摄像头,但它也不可靠。

本文主要的贡献如下:

  1. 通过分析PHY / MAC层标头的流量特性,提出了一种使用智能手机的可靠轻便的无线摄像头检测方法。
  2. 研究了来自非相机的相机流的独特性,并设计了一种有效的检测方案,可以可靠,快速地检测室内相机的确切数量和存在。
  3. 在Android上实施DeWiCam,并在美国和中国市场的20个流行无线摄像头上验证它,在跨度30天的2个地点上分别收集了11000条用来评估数据流trace。结果表明,DeWiCam检测精度达到99%以上,检测时间为2.7 s。

2. Background

那么作者接下来就从软件和硬件两个层面阐述了无线摄像机的几个原则:

无线监视的结构

无线摄像机提供实时视频监控,并设计为通过无人网络流式传输视频,无线网络可在2.4 GHz、4.9 GHz等频段上运行。市面上存在两种流行的无线摄像头类型:(1)消费市场中的数字无线摄像头,用作监视家庭或企业的低成本解决方案,视频通常通过Wi-Fi网络传输; (2)用于公共安全或执法机构的无线视频监控摄像机(例如闭路电视摄像机),视频通常通过政府无线网络传输。在本文中作者们主要关注第一种类型。

无线摄像头通过内置的图像和音频传感器监控家庭或办公室,并生成连续的视频和音频流。通常,摄像机处理视频/音频流,然后通过无线局域网(WLAN)将它们上传到云服务器,允许实时或后续进行远程监控。因此,无论用户是否正在观看视频和音频,都始终上传视频和音频。现有的无线摄像机通常支持各种功能,例如通过扬声器发出声音或者一旦检测到视场内的运动就发送通知。此外,这些摄像机允许用户通过用户友好的界面进行设置,例如,配置视频的分辨率,打开或关闭音频通道等。不过,用户通常使用默认设置,最多配置摄像头安装期间一次。

无线摄像机的几个特征

硬件设备

IP摄像机利用集成和标准设计理念。无线摄像头的硬件模块如图2所示。传感器捕获并数字化图像场景以生成原始视频帧。然后将原始帧馈送到多媒体SoC(片上系统),其包含MCU和三个附加子模块:(1)图像信号处理(ISP)子模块执行诸如噪声滤波的功能。 (2)编解码器子模块压缩视频/音频帧以减小帧大小。 (3)网络协议子模块通过流协议(如RTSP(实时流协议))传输多媒体流。受欢迎的SoC制造商包括HiSilicon,Ambarella和TI,其中HiSilicon SoC由于其低成本而成为无线IP摄像机中使用最广泛的产品之一。

image-20190121134952111

本质上,无线摄像机的流量模式依赖于SoC芯片和相机制造商,因为后者可以配置SoC芯片的固件以定制附加功能。然而,由于SoC芯片的选择以及无线摄像机的主流制造商的限制,各种无线摄像机的操作流程上大体相同,并导致类似的流量模式。

image-20190121135054203

流量上的压缩和碎片化处理

由ISP子模块处理的多媒体帧在传输之前被压缩和分段,如图3所示,这导致无线摄像机流的独特流量模式,并揭示了DeWiCam的可行性。由于压缩和分段都是由多媒体SoC根据标准执行的,因此,无线摄像机应具有类似的流量模式。

压缩

在SoC中使用标准压缩协议,例如用于视频流的H.264协议和用于音频流的AAC协议。 H.264标准利用连续帧之间的冗余并输出一系列帧内编码帧(I帧),预测帧(P帧)和双向预测帧(B帧),这三种帧由于其功能的不同,在流量上存在一定的区分特征。类似地压缩音频流,在音频样本上使用编码协议(例如,AAC)以去除冗余。音频流和视频流之间的明显区别在于,与视频流相比,音频流占用的带宽要低得多。因此,音频流通常很轻,并产生大量小尺寸的离散流量,如图3所示。

分段

在被压缩之后,视频和音频流帧将通过流传输协议,例如应用层中的RTSP协议。由于链路层中的每个网络接口只能传输大小小于其最大传输单元(MTU)的分组,所以当帧大于MTU时,必须对其进行分段。因此,大帧被分成一系列包。

对于视频流,由于I帧通常是三种类型中最大的帧,因此I帧的分组数量通常也是最大的。将帧中的数据包数量表示为n,然后前n – 1个数据包是全尺寸数据包(即MTU的大小),最后一个数据包通常小于MTU大小,我们称之为小尺寸包。 P帧也是分段的,而它们的全尺寸数据包数量比I帧少。对于B帧,它们通常是最小的,并且每个B帧可以封装成一个尺寸小于MTU的分组。类似地,音频帧也是小尺寸分组。

流量特征总结

视频/音频流上的压缩和分段对无线摄像机的流量模式具有根本性影响。 传递到网卡时,视频/音频帧被打包成一系列数据包,包括全尺寸数据包和小尺寸数据包,如下所示:

  • I帧被分为一组全尺寸数据包,后跟一个小尺寸数据包。
  • P帧被分成一小组全尺寸数据包,后跟一个小尺寸数据包。
  • 大多数B帧和音频帧都是小型数据包。

结果,视频和音频流一起生成一系列全尺寸分组,其间具有小尺寸分组。 这种模式应该是无线摄像机识别的潜在解决方案。那么DewiCam的工作原理如下:由于无线摄像机首先压缩视频/音频帧。 然后将每个帧分段为一系列分组以适合MTU大小。 然后将分段的视频和音频数据包组合起来进行传输。 最终流量是一系列大数据包中间交织着一些小包,我们将其定义为包长度分布(PLD)模式。 结合“持续时间”,“带宽稳定性”和“PLD稳定性”功能,DeWiCam可以检测无线摄像头。

3. Threat Model & Problem Overview

攻击模型

我们假设攻击者可以完全控制摄像机,其周围环境和位置。为了实时监控感兴趣的目标,攻击者倾向于在相对较长的时间段内保持摄像机开启。为实现监控目标,攻击者应具备以下功能: 隐藏相机攻击者可以将摄像机隐藏在房间的任何地方,但是有意监视大面积区域。 部署多个摄像头为了覆盖范围,攻击者可以安装任意数量的无线摄像头,并选择其品牌。 完全控制网络攻击者可以完全控制网络,并可以使用各种协议来增强它,例如WPA / WPA2-PSK。攻击者还可以通过禁用其SSID(服务集标识符)的广播来使接入点变为私有。 对相机的控制有限我们假设我们的攻击者是正常的Airbnb主机。他们可以根据需要更改摄像头配置,但无法修改无线摄像头的底层固件。

对DeWiCam的要求

无法访问TCP / IP头。即使没有加入网络,DeWiCam也应该有效,因为使用者可能无法访问网络。即使使用Wi-Fi密码,WPA / WPA2-PSK也会利用每个客户端,从Wi-Fi密码派生的每会话密钥以及客户端加入网络时交换的信息[19]。因此,难以解密网络消息,因为使用者不能总是捕获所有四个握手包的相机以导出密钥。这一严格要求使得DeWiCam比现有工作更具挑战性:现有流量分类可以获得TCP / IP报头,而DeWiCam最多可以访问PHY / MAC层报头。 可用性。 DeWiCam应该在短时间内检测到无线摄像机的存在,具有低误报率(FPR)和低假阴性率(FNR)。此外,可以在家中部署多个无线摄像头,DeWiCam应能够找到所有无线摄像头。而且,DeWiCam应该告诉受害者检测到的摄像头是否在房间内。 轻巧。我们设想在智能手机等无处不在的智能设备上实施DeWiCam作为应用程序。考虑到智能手机上的资源有限,DeWiCam在CPU计算和内存使用方面必须是轻量级的。

问题描述

DeWiCam通过检查无线流量来检测无线摄像头。 鉴于只有PHY / MAC报头信息可用,DeWiCam根据设备的MAC地址进行数据流的对象分组。

image-20190121144002880

因此,识别无线摄像头等同于确定是否存在无线摄像头流。 如图4所示,DeWiCam窃听发往或来自所有附近AP的分组,并通过识别摄像机流来确定无线摄像机的存在。 请注意,无线摄像头仅包含一个上行链路流,而非摄像头设备可能具有多个并发上行链路流,我们将其称为混合流。 DeWiCam的关键是区分相机流量与任何其他流量,包括混合流量。

4. Characterize Camera Traffic Patterns

那么接下来就说如何仅通过MAC层信息来获得相机的流量模式和设计特性

可用的帧头部信息

帧头包括物理层整合处理(PLCP)头和MAC头,PLCP头包含MAC帧的长度。 MAC头包含帧控制(FC),持续时间和三个地址字段[8]。 对于上行链路分组,AP的MAC地址,源MAC地址,目的地MAC地址这些有限的信息是捕获相机检测的相机流的固有流量模式的唯一基础。

相关应用分析论证

作者列举了三类APP来论证在无线视频传输时其是否确实遵守了相应的数据流特征

  1. 实时流媒体应用程序。 它们专为电话会议或娱乐(例如,Skype音频/视频电话,FaceTime,视频游戏)而设计。 这些应用程序通常由一些音频和视频流组成,每个音频和视频流都是从参与者发起 每个音频和视频流可以使用与无线摄像机之一相同的压缩标准,但是通常以低得多的分辨率来满足实时要求,因为因特网不能保证最小带宽。 由于实时要求,数据包通常在它们可用时立即传输,从而产生一系列具有少量全尺寸数据包的小型数据包。
  2. 文件共享应用程序 他们可以利用客户端 – 服务器架构为用户从Web服务器获取文件或将本地文件上载到云存储服务器。 或者,他们可以利用对等架构在用户之间交换文件。 典型应用包括uTorrent,YouTube和互联网冲浪。 由于文件共享没有严格的时序要求,因此大多数数据包都是全尺寸的,以减少小数据包造成的开销。 有时,小尺寸文件或与控制相关的消息会导致小尺寸数据包。
  3. 基于云的物联网(IoT)应用程序。 物联网应用的流量是多种多样的。 他们的一些通信用于命令上载或设备状态报告,例如智能锁。 有些人可能需要交换大量不适合一个数据包的数据,例如,Amazon Echo可能会将音频剪辑上传到服务器。 因此,在各种IoT应用之间,全尺寸分组和小尺寸分组的百分比可能变化很大。

除了数据包大小分布的差异外,大多数应用程序的上传和下载链接消耗了不对称的带宽量,少数应用程序可能会出现对称的(例如,Skype呼叫)。 鉴于上传链路上的摄像头流量通常很大,下载链路上的流量应当很少,检查上传和下载链接的带宽可以帮助快速消除明显的非摄像头流量。 然而,诸如云文件共享和与一方关闭其相机的Skype呼叫之类的应用可能表现出类似的带宽特性,因此仅靠带宽本身来判断是不够的。

那么最终作者观察到相机流有四个特征:

  1. 由于视频/音频压缩和分段,流程包括全尺寸数据包和小尺寸数据包。
  2. 由于摄像机通常安装在较长时间内监视室内环境较少的移动物体,因此摄像机流量具有相对稳定的流量和稳定的数据包大小模式。特别地,连续I帧之间的P帧和B帧的数量或多或少相同,并且分组大小的序列在自相似性方面应表现出独特的模式。
  3. 无线摄像头始终不断工作。除非关闭,否则无线摄像头会产生大量网络流量。虽然由于网络拥塞和其他网络流量的影响,流量可能会波动,但流量随着时间的推移会相对稳定。
  4. 相机的Wi-Fi模块不同于其他平台,例如智能手机,PC,平板电脑等。相机利用SoC上的内置Wi-Fi模块,而由于其平台可能使用专用的Wi- Fi模块。因此,它们可能在MAC头中产生不同的信息。

基于这些观察,作者们设想特征应该包括由压缩和碎片化处理而引起的瞬态特性,由单个流应用程序产生的稳定性以及由SoC芯片在相机中所带来的硬件相关的特征。

对四个特征的进一步挖掘

那么得到四个特征之后,作者进一步用实验挖掘这四类特征所带来的流量特征影响

环境布置:为了探索,作者在实验室中运行无线摄像头,使用USB 无线网卡捕获数据包,并在笔记本电脑上使用Wireshark分析流量模式。 除了相机流量,其还收集以下四类流量:(1)实时流媒体应用:FaceTime,Skype视频/音频通话,微信视频/音频通话,QQ视频/音频通话和视频游戏,(2) 文件共享应用程序:百度云(云存储服务),uTorrent,YouTube,Flipboard,亚马逊,Facebook,Instagram和微博,(3)基于云的物联网应用:智能电视(海信),亚马逊Alexa Echo, 空气质量监测器(Awair Glow),智能灯泡(TP-LINK)和(4)混合流量。

image-20190121155134348

(CDF:cumulative distribution function累计分布函数)

瞬态PLD特性:为了便于计算,第一个特征是在短时间内的分组长度分布(PLD),并且设想它可以区分摄像机流与大多数其他类型的流,但不是所有流量流,例如,非相机设备可以由各种应用程序的组合组成,这些应用程序组合模仿相机流程。为了使绘图可读,我们绘制了相机流的PLD和每个类别中的一些应用程序,如图6所示。我们观察到相机流程表现出类似的模式,即使它们具有不同的品牌。而对于非相机流,大多数PLD曲线变化很大,并且与相机流不同。更具体地说,相机流具有大部分全尺寸分组(1024字节)。中等大小的数据包(介于500到1023字节之间)仅占很小的比例,并且小型数据包(小于500字节)的数量急剧增加。这是因为对于相机流,音频流和视频流的B帧对小尺寸分组有贡献。粗略地说,相机流的PLD模式就像一个“阶梯”,而非相机流程则显示出各种不同的模式。其他应用的PLD都与相机流的PLD表现不同,但混合流(图6(b)中的流程9)显示了与相机流相似的PLD。这证实了之前的分析。

那么为了将相机的数据流从混合流中提取出来,作者还设计了两个用是否稳定来进行区分的特性:带宽稳定性(一段时间内(即带宽)来自无线摄像机的数据包的总字节数及其偏差,相机有较小的偏差)和PLD稳定性(随时间增加的PLD变化幅度,相机的变化幅度也很小)。

为了识别与硬件相关的功能,我们分析帧头中的每个字段,并发现无线数据包的持续时间取决于硬件,而不是根据802.11规范中规定的包长度。 因此,它可以用于反映硬件平台,即相机,智能手机或PC。 各种平台之间的比较如图8所示。尽管相机流量的持续时间值因相机品牌而异,但与非相机流量相比,绝对值都很大。 就同一设备上不同应用程序的流量而言,我们发现持续时间值与应用程序无关。 更重要的是,相机流量的偏差明显大于非相机流量的偏差,我们认为这是因为相机应用程序表现出连续的数据包流,而有些则不然。

image-20190122103335642

总的来说,DeWiCam根据如下特性进行相机的发现和判断:

  • 瞬态PLD功能,揭示了应用类型的独特性。
  • 硬件相关功能,它利用持续时间字段并与硬件平台相关,即相机,智能手机或PC。
  • 带宽稳定性功能,指示随时间变化的流量特性。
  • PLD稳定性功能,反映了应用程序随时间的运行特性。

前两个特征可以区分大多数类型的非相机流与相机流,即所有非相机流具有单个应用程序,而大部分非相机流程来自多个应用程序。 混合流可能恰好表现出相同的PLD和持续时间特征,但不太可能稳定地表现出类似的交通模式。 因此,作者们可以提取稳定性特征以消除混合流。

5. Design of DeWiCam

DeWiCam由四个步骤组成:流量构建,特征提取,摄像机检测和摄像机定位,如图9所示。首先,DeWiCam通过无线信道捕获一段时间的网络流量。 DeWiCam删除冗余数据,提取用于特征提取的PHY / MAC头信息(例如,帧长度)并丢弃MAC帧有效负载以提高处理效率。 然后,DeWiCam将收集的流量数据分组以进行进一步分析,并删除绝对非流量的流量。 在特征提取步骤中,DeWiCam为每个流提取重要特征,例如数据包长度,持续时间,带宽和稳定性,并将具有特征的流提供给摄像机检测分类器。 检测模块通过检查流特征来判断无线摄像机流的存在,并且最终定位测试确定摄像机是否在感兴趣的房间中。

image-20190121160958044

流量构建

DeWiCam的第一步是从数据包跟踪构建与每个设备关联的流。 流程构建模块主要包含两个阶段:数据收集(DeWiCam通过无线方式捕获数据包,过滤丢弃不太可能来自摄像机的数据包。)和流分组(根据其MAC地址对P中的数据包进行分组,并将具有相同源和目标MAC地址的数据包放到同一组中,表示为Fi) 应该收集多少数据?较大数量的数据包可以以较长延迟为代价提高检测准确度,而较少数据包产生较快的响应,但代价是可靠性较低。为了取得平衡,DeWiCam凭经验选择所需数量的数据包,例如300个数据包。还值得一提的是,无线网络经常遭受数据包丢失,但是不能捕获所有数据包。我们在分析检测精度方面的实验表明,只需300个数据包即可识别出相机流量,在各种网络中最多需要几秒钟,包括低带宽或严重争用的网络。

特征提取

在将数据包分组为流后,DeWiCam会提取流量数据中的瞬态

知识来源: https://www.securitygossip.com/blog/2019/01/22/dewicam-detecting-hidden-wireless-cameras-via-smartphones

阅读:100491 | 评论:0 | 标签:phone

想收藏或者和大家分享这篇好文章→复制链接地址

“DeWiCam: Detecting Hidden Wireless Cameras via Smartphones”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词