给设备制造商的建议

攻击者很容易发现并利用相机中的不良体系结构导致的漏洞，因此制造商应该检查其设备研发过程中是否存在以下问题：

1.使用不安全的函数。sscanf是一个潜在的不安全函数，尤其是与％s或％[]一起使用时。可以在支持的API中用sscanf_s替换sscanf，或者可以通过添加长度说明符来安全使用sscanf（需要确保长度小于缓冲区长度，应谨慎使用）。最佳操作是即使在特定情况下也不要使用任何不安全的功能版本，定期使用它们很危险。特别是，建议不要使用sscanf。固件中发现的其他可能不安全的功能包括strcpy（可以替换为strncpy），strcat（可以替换为strncat），sprintf（可以替换为snprintf）等等。

2.主二进制文件缺少ASLR。ASLR已在设备上运行的Linux OS中实现并打开，唯一要做的更改是通过在GCC上添加“ -pie-fPIE”标志来使其与主要二进制文件兼容。使用此功能，攻击者无法猜测他想跳转到的功能地址。

3.缺少stack canaries。这是一个非常简单且重要的安全功能，可以通过在GCC中添加“ -fstack-protector-all”标志来启用该功能，当可执行文件识别出堆栈受到破坏时将崩溃。这将导致短暂的拒绝服务，但至少它不允许攻击者运行其选择的代码。重要的是要注意此功能可能会导致性能下降，因为对每个功能都检查了stack canaries。如果性能下降使其无法使用，则可以控制stack canaries的创建，并将其设置为仅放在极容易遭受基于堆栈的缓冲区攻击的函数上。这可以通过将“ -fstack-protector”标志与“ –param ssp-buffer-size”一起使用来完成。

4.URL参数应该被清理为仅包含ASCII可打印字符。与ASLR结合使用，将降低该漏洞的利用率。

5.使用对称加密对固件文件进行加密。这使攻击者可以打开固件进行研究。

6.固件文件未经过数字签名。这使攻击者可以重新打包恶意固件，供应商应考虑签署其固件，以防止受到这种威胁。

7.在我们研究的固件中，使用了appweb 3，特别是它的旧版本-长期未维护。如https://www.embedthis.com/appweb/download.html 所述，此版本以及一些较新的版本被称为“寿命终止”，这意味着它将不会获得任何安全补丁。

8.该设备的几乎所有逻辑都包含在一个二进制文件中。当所有内容都在一个二进制文件中时，特权分离就会减少，这会增加攻击面。例如，任何设备功能中可能存在的拒绝服务漏洞都将使主进程崩溃，并且许多设备功能也将遭受损失，而不仅仅是使负责特定逻辑的进程崩溃。将摄像机的逻辑划分为不同的二进制文件可能还会使利用代码执行漏洞变得更加困难，因为进程内存中的可用代码更少，无法跳转。