攝像頭如何被他人控制 設備極易被黑客批量掃描利用

溫婧

2017年06月26日08:19  來源:北京青年報
 
原標題:攝像頭如何被他人控制 設備極易被黑客批量掃描利用

  家用的攝像頭在帶來方便的同時也帶來了安全隱患,不僅家用攝像頭容易被控制,個人隱私泄露,還有可能被不法分子大規模劫持,致使網絡癱瘓。在眾多QQ群內,一套188元的軟件就可以查看他人家庭的實時畫面,還可以進行遠程操控,包括轉動、靜止、放大等。

  國家質檢總局日前對40批次智能攝像頭進行的質量安全風險監測表明,8成攝像頭都存在安全隱患。在選購智能攝像頭時,最好選擇正規渠道,並定期更改密碼、及時更新硬件。

  在QQ群搜索“攝像頭”能看到不少類似的群

  攝像頭被曝隱私安全

  現如今,很多人家裡都裝有智能攝像頭。主人可以隨時用手機看看家裡的情況,比如老人獨自在家是否安全,保姆帶娃是否盡責,有沒有進小偷之類的。不過,涉及個人隱私的智能攝像頭可能並不安全。在網上,隻需花一百多元購買掃描軟件,便可以攻破家庭攝像頭的IP地址,從而觀看別人家的視頻內容,甚至操控該攝像頭。

  根據央視報道,在QQ內有眾多關鍵詞為“攝像頭破解”的聊天群,隨機加入幾個聊天群,發現聊天的內容絕大多數有關家庭攝像隱私。多個群友主動加好友,號稱“能夠攻破攝像頭IP地址”。還有的群內,IP地址會被群主作為聚攏人氣的禮物,免費向群員發放。在有個近2000人的QQ群中,每天都會新增一份最新破解文件,包含200到400個IP地址,每份都被下載了幾百次。

  在支付188元購買了兩款軟件和詳細使用教程后,輸入賣家提供的IP地址、登錄名和密碼,竟然成功進入了多個家庭攝像頭,看到了家裡的情景。記者聯系上一家攝像頭的主人,向她核實攝像頭是否為家中實時圖像,對方承認的確為自己家中,並表示十分驚詫。

  除了偷窺之外,他人還可能控制家裡的攝像頭,比如讓攝像頭旋轉、放大、靜止等。據北京青年報記者了解,一些攝像頭正是利用畫面的突然改變從而提醒主人家中是否有意外情況,比如在家中無人時,被拍攝畫面中如果突然有他人進入,則會提示主人可能有小偷﹔而一旦攝像頭被控制,畫面靜止后,攝像頭就失去了原本的意義,如對方知曉家庭住址等信息,不僅知道家中何時沒有人,還可以穩住主人,實施一些違法行為。

  攝像頭城市畫面被泄露

  實際上,存在安全漏洞的不只是家庭攝像頭。據國家互聯網應急中心的專家介紹,用於城市管理、交通監測的公共攝像頭中,也大量存在使用弱口令便可以打開的問題。因此,這類攝像頭很容易被入侵。

  360攻防實驗室的專家劉健皓表示,此前在一個名為“Shodan”的網站收錄了成千上萬網絡攝像頭拍攝的照片,是由於網絡攝像頭實時流傳輸協議存在安全漏洞。該網站收錄了中國大陸地區的攝像頭拍攝畫面共有49個,涉及廣州、北京、合肥、南京、重慶等城市。

  其中一個位於北京北海東側、景山后街的一家服裝店收銀台上方的攝像頭清晰地記錄了店內情況,包括計算機、電話、賬本POS機等物品清晰可見,還可以看到一名女子正在盤點錢款。

  另外,在知乎問答上,有多名網友貼出了多個網站的攝像頭截圖,其中一張截圖中,兩名身穿疑似公安系統制服的工作人員正在一間房間內辦公,另有工廠內、公園內、教室內、街頭等多個場景的攝像頭畫面。

  攝像頭緣何成公開眼?

  本身是隻有自己可以控制和查看的攝像頭,為何會被他人控制?其一大原因就是其用戶名、密碼太簡單,也就是“弱口令”。一些用戶在安裝攝像頭時,並不會修改密碼,或修改為更加簡單的密碼,如連續的數字或字母。在網上購買的掃描器,正是利用了這一漏洞,大范圍掃描各種智能設備,如果恰好可以用原始密碼或簡單密碼攻破,就會被記錄。

  另外,獵豹移動安全專家指出:由於家庭攝像頭暴露外網管理頁面,設備存在弱口令或其他漏洞,很容易被黑客大批量掃描利用。除此之外,以下兩點也是隱私視頻被泄露的主要途徑:1、攝像頭廠商的管理后台存在漏洞或缺陷接口,被黑客通過SQL注入或者撞庫等方式竊取用戶管理密碼,甚至可能被利用管理后台監控所有用戶。2、攝像頭開啟雲端監控功能。一旦雲服務器廠商出現漏洞或雲服務授權KEY泄漏,將導致所有用戶隱私視頻的大范圍泄漏﹔用戶隱私視頻上傳雲端的整個過程缺乏有效的監管,在監控視頻傳輸、存儲的各環節都存在泄漏風險。

  大量攝像頭存風險

  日前,國家互聯網應急中心在市場佔有率排名前五的智能攝像頭品牌中隨機挑選了兩家,進行了弱口令漏洞分布的全國性監測。結果僅兩個品牌的攝像頭,就有十幾萬個存在著弱口令漏洞。

  18日,質檢總局也對40批次的智能攝像頭進行質量安全風險監測,結果表明,32批次樣品存在質量安全隱患。也就是說,八成的智能攝像頭存在安全風險。結果表明,32批次樣品存在質量安全隱患。

  其中,28批次樣品數據傳輸未加密﹔20批次樣品初始密碼為弱口令,或者用戶注冊和修改密碼時未限制用戶密碼復雜度﹔18批次樣品在身份鑒別方面,未提供登錄失敗處理功能﹔16批次樣品對用戶密碼、敏感信息等數據,在本地存儲時未採取加密保護措施﹔10批次樣品操作系統的更新有問題,未提供固件更新修復功能或者固件更新方式不安全﹔10批次樣品后端信息系統存在越權漏洞,同一平台內可以查看任意用戶攝像頭的視頻﹔8批次樣品未對惡意代碼和特殊字符進行有效過濾﹔5批次樣品后端信息系統存儲的監控視頻可被任意下載,或者用戶注冊信息可被任意查看。上述問題可能導致用戶監控視頻被泄露,或智能攝像頭被惡意控制等危害。

  去年5月,360安全實驗室也曾對國內市場上銷售的近百個品牌的家用智能攝像頭進行安全評估測試后發現,近八成產品存在用戶信息泄露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全缺陷、弱口令等安全設計缺陷。

  智能硬件漏洞或致網絡癱瘓

  不安全的智能攝像頭除了會帶來用戶隱私被侵犯問題,還有可能釀成大禍。去年10月,美國爆發大規模網絡癱瘓事故,多個城市的主要網站被攻擊,包括推特、亞馬遜、Paypal等在內的大量互聯網知名網站數小時無法正常訪問。該事故就被認為是智能攝像頭、路由器、錄像機等設備的密碼問題所致。

  360攻防實驗室負責人劉健皓介紹,該病毒影響如此大的重要的原因是因為有如此之多的網絡攝像頭、數字錄像機等設備生產出來時附帶的默認密碼從未更改過,一次簡單的互聯網掃描就能識別出這些密碼。這樣,手裡掌握大量智能硬件漏洞的組織,就可以輕易地利用這樣的程序,調動所有有漏洞的硬件發起進攻。

  當然,智能硬件廠商在安全方面的表現也不盡如人意。劉健皓稱,相當數量的智能硬件攜帶非常多的漏洞,這些漏洞往往是低級的,甚至由於很多硬件廠商選用相同的底層方案,這些漏洞還是通用的,一旦被不法分子利用,其后果不堪設想,這次美國斷網事件就是一個很好的例証。

  安全提醒

  如何選購智能攝像頭

  普通消費者應當如何選擇智能攝像頭呢?質檢總局提示廣大消費者,在選購和使用智能攝像頭產品時,要注意以下幾點:

  一是選擇正規渠道購買智能攝像頭產品,切勿購買“三無”產品,注意留意權威部門發布的相關產品質量信息。

  二是增強隱私信息保護意識,在購買、使用智能攝像頭產品和接受相關服務時,仔細查看相關說明和廠商聲明,充分了解選購產品和服務的各項功能,注意和防范用戶信息可能泄漏的風險,審慎考慮廠商收集、保存和使用用戶信息的要求,根據自我實際情況和意願作出購買和選擇決定。

  三是使用時,應及時主動修改智能攝像頭默認密碼,密碼設置應有一定的復雜度並定期修改。

  四是及時更新智能攝像頭操作系統版本和相關的移動應用,發現異常應立即停止使用,並向生產廠商反饋,等待廠商修復。

(責編:易瀟、沈光倩)

推薦閱讀