Polis gövdesi kamera görüntülerinin güvenliği ve bütünlüğü, mahkeme işlemlerinde sunulan kanıtların geçerliliğini desteklemektedir.
Bununla birlikte, bütçe dostu bir gövde kamera sistemiyle ilgili yakın tarihli bir soruşturma, eşlik eden mobil uygulamasının (Viidure), Çin’de bulunan bulut sunucularına standart olmayan bir TLS bağlantı noktası üzerinden hassas cihaz tanımlayıcılarını ve kullanıcı verilerini ilişkilendirdiğini ortaya koydu.
Bu tür davranışlar, veri gizliliği, gözetim zinciri ve ABD kolluk politikalarına uyum konusunda acil endişeleri gündeme getirmektedir.
İzole edilmiş bir ağda Wireshark paket yakalamaları kullanılarak, Viidure mobil uygulaması, birden çok etki alanına şifreli oturumlar oluşturulmuştur.
En dikkat çekici uç nokta, app-api.lufengzhe.com:9091Whois Records’un onayladığı 115.175.147.124 IP adresine çözüldü. Ltd. Çin’de.
Buna ek olarak, uygulama standart TLS bağlantı noktası 443 üzerinden Baidu Haritalama Hizmetleri ile iletişim kurar (api.map.baidu.com Ve loc.map.baidu.com), muhtemelen coğrafi konum özellikleri için.
Çekirdek API trafiği için Port 9091’in beklenmedik kullanımı, özel sunucu yapılandırmalarını veya veri akışlarının kasıtlı olarak gizlenmesini önerir.
Ne olursa olsun, video ile ilgili meta veriler ve cihaz tanımlayıcılarının Çince barındırılan sunucular aracılığıyla yönlendirilmesi, yabancı hükümet gözetimine ve yetkisiz erişime potansiyel olarak maruz kalma yaratır.
Ortadaki Adam Analizi
TLS validasyonu Viidure uygulamasında, MITMDUMP ile birlikte açık kaynaklı Mitmrouter çerçevesi kullanılarak ortada bir adam (MITM) testi yapıldı.
IPTables kuralları, Caido’da sona eren yerel bir proxy zinciri aracılığıyla hem 443 numaralı bağlantı noktasını hem de 9091 bağlantı noktasını yeniden yönlendirdi.
Çin bulut sunucusunu taklit eden sahte bir sertifika sunmasına rağmen, mobil uygulama bağlantıyı reddedemedi ve bu da yetersiz sunucu sertifikası doğrulamasını gösterdi.
Sonuç olarak, uygulama ve bulut arasında değiştirilen tüm HTTP mesaj içeriği, proxy günlükleri içinde düz metin halinde ortaya çıkarıldı.
En hassas durdurulan talepler arasında bir sürüm kontrolü son noktası vardı (/iot/api/v1/version/check), burada uygulama cihazın uluslararası mobil ekipman kimliğini (IMEI) ve operatörün e -posta adresini iletti.
JSON yükü dahil:
text{
"data": [
{
"model": "6zhentan_android",
"region": "other",
"version": "v2.7.1.250712",
"useType": 1,
"imei": "17562212185897060"
}
],
"language": "en_US",
"appmodel": "6zhentan",
"osmodel": "android",
"country": "US",
"username": ""
}
IMEI değerlerinin eksfiltrasyonu sadece cihaz anonimliğini zayıflatmakla kalmaz, aynı zamanda bireysel memurların ve topladıkları hassas video verilerinin izlenmesini de sağlar.
Ayrıca, sağlam sertifika sabitleme veya TLS validasyonunun olmaması, rakiplerin video yönetimi komutlarını kesmesine veya manipüle etmesine izin verir.
Kolluk kuvvetleri için çıkarımlar
Ülke çapında polis departmanları, üçüncü taraf satıcılardan gelen vücut kamera ekosistemlerine giderek daha fazla güveniyor.
Bir satıcının altyapısı, farklı veri koruma düzenlemelerine sahip yargı alanlarında bulunduğunda, videoya kaydedilen karşılaşmalar veri bilgisi ihlallerine karşı savunmasız hale gelir.
Viidure uygulamasının Çinli sunucularla iletişimi, delil malzemenin güvenli ve yerelleştirilmiş depolanmasını zorunlu kılan politikalara aykırı olabilir.
Ayrıca, kusurlu TLS validasyonunun herhangi bir sömürüsü, yetkisiz aktörlerin kötü niyetli ürün yazılımı güncellemeleri enjekte etmesine veya orta geçişli görüntüleri silmesine izin verebilir.
Ajanslar, veri akışı diyagramları, sunucu konumları ve kriptografik önlemler konusunda vücut kamera üreticilerinden tam şeffaflık talep etmelidir.
Tedarik sözleşmeleri, tüm bulut hizmetlerinin onaylanmış yargı bölgeleri dahilinde bulunmasını, sertifika sabitlemesi ile TLS kullanmasını ve bağımsız güvenlik denetimlerinden geçmesini gerektirmelidir.
Bu bulgular ışığında, kolluk uzmanları şunlar olmalıdır:
Tutarlı olmayan giden trafiği engellemek için ağ güvenlik duvarlarını yapılandırarak gözetim zincirini koruyun.
Zorun satıcıları katı TLS sunucusu sertifikası doğrulama ve sabitleme uygular.
Veri açığa vurma modelleri için mobil uygulamaları denetleyin ve CJI’lere ve diğer veri güvenlik standartlarına uyumu onaylayın.
Polis gövdesi kamera kanıtlarının bütünlüğü sadece cihazın kayıt yeteneklerine değil, aynı zamanda veri yönetimi boru hattının güvenliğine de bağlıdır.
Bu durumda gösterildiği gibi, düşük maliyetli çözümler hem gizliliği hem de kovuşturma etkinliğini tehlikeye atarak kabul edilemez riskler getirebilir. Satıcı uygulamalarının sürekli olarak incelenmesi ve katı siber güvenlik gereksinimlerine bağlılık, kamu güvenini korumak için gereklidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.