攝像頭新漏洞 私生活被實時直播
- 發佈時間:2016-02-26 14:34:51 來源:新華網 責任編輯:羅伯特
出門在外還可以讓你隨時查看家中情況,網路錄影機已被越來越多的家庭所青睞。但關於它可能造成隱私洩露的問題也一直被關注。近日,有網帖稱又發現了一個網路漏洞,可讓駭客輕易獲取錄影機的拍攝內容。
昨天,專業實驗室技術人員為《法制晚報》記者做了驗證,利用這個漏洞果然成功“入侵”多個攝像頭,他們的私生活被“實時直播”。而這一漏洞可能造成4萬多個攝像頭存在泄密風險。
不過當對市面上的部分常見品牌網路錄影機攻擊時,因其有驗證程式,“入侵”未成功。專家提示,應及時升級固件,同時可在不使用的時候進行遮蔽處理。
發現漏洞不用攻擊網路
墑凳奔囁磁納隳諶
近日,一片名為《RTSP未授權訪問來獲取攝像頭內容》的網帖引起了網友的關注。
網帖稱,RTSP是一種實時流傳輸協議,該協議被廣泛用於視頻直播領域。這正好符合了網路攝像頭實時觀看的功能。因此,許多攝像頭廠商會在攝像頭中開啟RTSP伺服器,用戶可通過視頻播放軟體打開地址進行攝像頭畫面的實時查看。
但是由於安防設計不到位,許多廠商並沒有配套相應的身份認證手段。導致任何人都可以在未經授權的情況下直接通過地址觀看到攝像頭拍攝的實時內容。
技術人員介紹,網路錄影機的操作是通過網路技術實現的。以往駭客都是通過對IP地址發動攻擊或是攻擊伺服器獲得相應的操縱權,而此次發現的漏洞甚至可以免除攻擊的“麻煩”,因為沒有認證,只要找到IP地址和打開方式就可以實時操縱。
實驗
●隨機實驗 輕易“入侵” 看電視表情變化都能看到
昨日,360攻防實驗室的技術人員為記者演示了漏洞的危害。通過搜索網路IP地址,技術人員在沒有任何阻攔的情況下便“入侵”了一個網路攝像頭。
IP地址顯示,這是位於香港地區的一戶家庭。攝像頭應該安裝于客廳頂部,畫面清晰,整個房間的佈局陳設一目了然。可看到一名30歲左右的女士在收拾家務,一個幾歲的孩子正在沙發上玩耍,孩子的笑容以及茶几上擺放的食物清晰可見。
而另一個被“入侵”的攝像頭則安放在了電視上方,調取的畫面顯示,一位戴眼鏡的男士聚精會神地看著電視,可能太過入神,面部表情在不斷變化。大約10分鐘後,男士用遙控器關閉電視,起身離開。
此外,通過調取畫面,記者注意到,還有部分企業安裝的攝像頭也存在這樣的風險,其中一家企業的攝像頭正對著員工的電腦螢幕,很容易造成泄密。
通過全網掃描,技術人員發現了45488個是高風險網路接入端口。這些端口無需認證就可以直接獲得視頻資料,並實時監看。其中,中國境內共有18230個錄影機受到影響。
?●品牌實驗 市售産品需安全驗證 成功抵禦漏洞攻擊
上述實驗方法無法獲知被入侵的網路錄影機的品牌,那麼市售網路錄影機中是否存在這樣的風險?
技術人員隨機挑選了海康、小蟻等多個品牌的網路錄影機,為其設定了IP地址,並用上述步驟進行實驗。
實驗過程中,技術人員發現海康錄影機需要輸入用戶設定的用戶名和密碼才能進行實時畫面的調取。而如果想破解用戶名和密碼則需要其他的攻擊手段,非常繁瑣。且一旦用戶更換了密碼,之前的破解工作也就白費了。
小蟻等網路錄影機防範手段更加複雜,在測試時,技術人員無法利用網帖中提到的漏洞對其進行攻擊。
技術解讀
漏洞低級解決簡單
只需設置安全賬戶
早在2007年就有利用漏洞控制錄影機造成泄密的報道。當時駭客主要是通過攻擊電腦系統,獲得用戶主機的控制權,再打開探頭的。而隨著網際網路安全技術的發展,這樣的攻擊逐漸減少。取而代之的是對直接連在網路上的網路錄影機進行攻擊。
據介紹,此次發現的漏洞比較低級,在國內涉及的大多是小品牌,甚至“山寨”廠商。
技術人員指出,此次發現的漏洞比較低級,其可洩露的資訊除了實時畫面外,別的就很少了。如果想了解用戶的住址、錄影機型號甚至進行定點攻擊也是非常困難的。
這種漏洞不用太複雜的防禦手段即可避免。廠商只需要求用戶設置安全賬戶就可以對這樣的漏洞起到一定的防範作用。
?安全提示
及時升級固件
不使用時遮蔽攝像頭
安全技術人員提示,購買網路錄影機一定要選擇正規的大品牌,不要圖便宜而造成更大的損失。同時,要提高自身的安全防範意識,記得定期升級安全固件,並時常更換密碼。而如果用戶在家或是暫不使用,可以考慮將攝像頭用膠布等進行遮擋或封閉,即使被破解,也讓對方無法觀看。
文/記者 范博韜 石愛華
- 股票名稱 最新價 漲跌幅