當前位置: 首頁> 2016首頁> 政策資訊

智慧攝像頭八成不安全 極易被駭客利用

發佈時間: 2017-06-26 10:42:03  |  來源: 北京青年報  |  作者: 溫婧  |  責任編輯: 劉攀

原標題:攝像頭如何被他人控制

  城市攝像頭普遍存在因使用弱密碼而被輕易入侵的問題

  在QQ群搜索“攝像頭”能看到不少類似的群

家用的攝像頭在帶來方便的同時也帶來了安全隱患,不僅家用攝像頭容易被控制,個人隱私洩露,還有可能被不法分子大規模劫持,致使網路癱瘓。在眾多QQ群內,一套188元的軟體就可以查看他人家庭的實時畫面,還可以進行遠端操控,包括轉動、靜止、放大等。

國家質檢總局日前對40批次智慧攝像頭進行的品質安全風險監測表明,8成攝像頭都存在安全隱患。在選購智慧攝像頭時,最好選擇正規渠道,並定期更改密碼、及時更新硬體。

攝像頭被曝隱私安全

現如今,很多人家裏都裝有智慧攝像頭。主人可以隨時用手機看看家裏的情況,比如老人獨自在家是否安全,保姆帶娃是否盡責,有沒有進小偷之類的。不過,涉及個人隱私的智慧攝像頭可能並不安全。在網上,只需花一百多元購買掃描軟體,便可以攻破家庭攝像頭的IP地址,從而觀看別人家的視頻內容,甚至操控該攝像頭。

根據央視報道,在QQ內有眾多關鍵詞為“攝像頭破解”的聊天群,隨機加入幾個聊天群,發現聊天的內容絕大多數有關家庭攝像隱私。多個群友主動加好友,號稱“能夠攻破攝像頭IP地址”。還有的群內,IP地址會被群主作為聚攏人氣的禮物,免費向群員發放。在有個近2000人的QQ群中,每天都會新增一份最新破解文件,包含200到400個IP地址,每份都被下載了幾百次。

在支付188元購買了兩款軟體和詳細使用教程後,輸入賣家提供的IP地址、登錄名和密碼,竟然成功進入了多個家庭攝像頭,看到了家裏的情景。記者聯繫上一家攝像頭的主人,向她核實攝像頭是否為家中實時圖像,對方承認的確為自己家中,並表示十分驚詫。

除了偷窺之外,他人還可能控制家裏的攝像頭,比如讓攝像頭旋轉、放大、靜止等。據北京青年報記者了解,一些攝像頭正是利用畫面的突然改變從而提醒主人家中是否有意外情況,比如在家中無人時,被拍攝畫面中如果突然有他人進入,則會提示主人可能有小偷;而一旦攝像頭被控制,畫面靜止後,攝像頭就失去了原本的意義,如對方知曉家庭住址等資訊,不僅知道家中何時沒有人,還可以穩住主人,實施一些違法行為。

攝像頭城市畫面被洩露

實際上,存在安全漏洞的不只是家庭攝像頭。據國家網際網路應急中心的專家介紹,用於城市管理、交通監測的公共攝像頭中,也大量存在使用弱密碼便可以打開的問題。因此,這類攝像頭很容易被入侵。

360攻防實驗室的專家劉健皓表示,此前在一個名為“Shodan”的網站收錄了成千上萬網路攝像頭拍攝的照片,是由於網路攝像頭實時流傳輸協議存在安全漏洞。該網站收錄了中國大陸地區的攝像頭拍攝畫面共有49個,涉及廣州、北京、合肥、南京、重慶等城市。

其中一個位於北京北海東側、景山後街的一家服裝店收銀臺上方的攝像頭清晰地記錄了店內情況,包括電腦、電話、賬本POS機等物品清晰可見,還可以看到一名女子正在盤點錢款。

另外,在知乎問答上,有多名網友貼出了多個網站的攝像頭截圖,其中一張截圖中,兩名身穿疑似公安系統制服的工作人員正在一間房間內辦公,另有工廠內、公園內、教室內、街頭等多個場景的攝像頭畫面。

攝像頭緣何成公開眼?

本身是只有自己可以控制和查看的攝像頭,為何會被他人控制?其一大原因就是其用戶名、密碼太簡單,也就是“弱密碼”。一些用戶在安裝攝像頭時,並不會修改密碼,或修改為更加簡單的密碼,如連續的數字或字母。在網上購買的掃描器,正是利用了這一漏洞,大範圍掃描各種智慧設備,如果恰好可以用原始密碼或簡單密碼攻破,就會被記錄。

另外,獵豹移動安全專家指出:由於家庭攝像頭暴露外網管理頁面,設備存在弱密碼或其他漏洞,很容易被駭客大批量掃描利用。除此之外,以下兩點也是隱私視頻被洩露的主要途徑:1、攝像頭廠商的管理後臺存在漏洞或缺陷介面,被駭客通過SQL注入或者撞庫等方式竊取用戶管理密碼,甚至可能被利用管理後臺監控所有用戶。2、攝像頭開啟雲端監控功能。一旦雲伺服器廠商出現漏洞或雲服務授權KEY泄漏,將導致所有用戶隱私視頻的大範圍泄漏;用戶隱私視頻上傳雲端的整個過程缺乏有效的監管,在監控視頻傳輸、存儲的各環節都存在泄漏風險。

大量攝像頭存風險

日前,國家網際網路應急中心在市場佔有率排名前五的智慧攝像頭品牌中隨機挑選了兩家,進行了弱密碼漏洞分佈的全國性監測。結果僅兩個品牌的攝像頭,就有十幾萬個存在著弱密碼漏洞。

18日,質檢總局也對40批次的智慧攝像頭進行品質安全風險監測,結果表明,32批次樣品存在品質安全隱患。也就是説,八成的智慧攝像頭存在安全風險。結果表明,32批次樣品存在品質安全隱患。

其中,28批次樣品數據傳輸未加密;20批次樣品初始密碼為弱密碼,或者用戶註冊和修改密碼時未限制用戶密碼複雜度;18批次樣品在身份鑒別方面,未提供登錄失敗處理功能;16批次樣品對用戶密碼、敏感資訊等數據,在本地存儲時未採取加密保護措施;10批次樣品作業系統的更新有問題,未提供固件更新修復功能或者固件更新方式不安全;10批次樣品後端資訊系統存在越權漏洞,同一平臺內可以查看任意用戶攝像頭的視頻;8批次樣品未對惡意代碼和特殊字符進行有效過濾;5批次樣品後端資訊系統存儲的監控視頻可被任意下載,或者用戶註冊資訊可被任意查看。上述問題可能導致用戶監控視頻被洩露,或智慧攝像頭被惡意控制等危害。

去年5月,360安全實驗室也曾對國內市場上銷售的近百個品牌的家用智慧攝像頭進行安全評估測試後發現,近八成産品存在用戶資訊洩露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬體存在調試介面、可橫向控制等安全缺陷、弱密碼等安全設計缺陷。

智慧硬體漏洞或致網路癱瘓

不安全的智慧攝像頭除了會帶來用戶隱私被侵犯問題,還有可能釀成大禍。去年10月,美國爆發大規模網路癱瘓事故,多個城市的主要網站被攻擊,包括推特、亞馬遜、Paypal等在內的大量網際網路知名網站數小時無法正常訪問。該事故就被認為是智慧攝像頭、路由器、錄影機等設備的密碼問題所致。

360攻防實驗室負責人劉健皓介紹,該病毒影響如此大的重要的原因是因為有如此之多的網路攝像頭、數字錄影機等設備生産出來時附帶的默認密碼從未更改過,一次簡單的網際網路掃描就能識別出這些密碼。這樣,手裏掌握大量智慧硬體漏洞的組織,就可以輕易地利用這樣的程式,調動所有有漏洞的硬體發起進攻。

當然,智慧硬體廠商在安全方面的表現也不盡如人意。劉健皓稱,相當數量的智慧硬體攜帶非常多的漏洞,這些漏洞往往是低級的,甚至由於很多硬體廠商選用相同的底層方案,這些漏洞還是通用的,一旦被不法分子利用,其後果不堪設想,這次美國斷網事件就是一個很好的例證。

安全提醒

如何選購智慧攝像頭

普通消費者應當如何選擇智慧攝像頭呢?質檢總局提示廣大消費者,在選購和使用智慧攝像頭産品時,要注意以下幾點:

一是選擇正規渠道購買智慧攝像頭産品,切勿購買“三無”産品,注意留意權威部門發佈的相關産品品質資訊。

二是增強隱私資訊保護意識,在購買、使用智慧攝像頭産品和接受相關服務時,仔細查看相關説明和廠商聲明,充分了解選購産品和服務的各項功能,注意和防範用戶資訊可能泄漏的風險,審慎考慮廠商收集、保存和使用用戶資訊的要求,根據自我實際情況和意願作出購買和選擇決定。

三是使用時,應及時主動修改智慧攝像頭默認密碼,密碼設置應有一定的複雜度並定期修改。

四是及時更新智慧攝像頭作業系統版本和相關的移動應用,發現異常應立即停止使用,並向生産廠商反饋,等待廠商修復。

文/本報記者 溫婧