【導(dǎo)讀】我就想問(wèn)問(wèn),為什么受傷的總是智能攝像頭?
現(xiàn)如今,下載一個(gè)與智能攝像頭相關(guān)的應(yīng)用程序,就能隨時(shí)用手機(jī)查看家里的情況:老人是否出現(xiàn)意外,保姆帶娃是否盡責(zé),家庭財(cái)產(chǎn)是否安全。這是物聯(lián)網(wǎng)技術(shù)帶給我們生活上的便利,聽(tīng)上去真是一部和諧美滿的“家庭喜劇”?可是如果你知道除了自己以外,還有成百上千雙陌生的眼睛在盯著你家,“喜劇”可就秒變“恐怖片”了!
昨日,央視新聞客戶端曝光的一則消息引起了人們的廣泛關(guān)注:目前智能家庭攝像頭泄漏隱私已經(jīng)成為火熱的生意,只要將被破解的IP地址輸入播放軟件,就可以實(shí)現(xiàn)偷窺,不被覺(jué)察。
記者同志以大無(wú)畏的“臥底精神”深入敵方,詳細(xì)了解了這一過(guò)程。從實(shí)際體驗(yàn)的情況來(lái)看,只需花費(fèi)188元(沒(méi)錯(cuò),不要988,不要688,只要188),就能在一些QQ群內(nèi)輕松買到大量IP賬號(hào),而這些IP地址配合被破解的登錄名密碼以及相應(yīng)軟件后,就能輕松入侵基本上所有的家庭智能攝像頭。
那么智能攝像頭的IP地址是怎么落到別人手中的?登錄的密碼怎么也會(huì)一同泄露呢?國(guó)家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師高勝表示,用一些弱口令密碼,做大范圍的掃描。弱口令就是一些user或者admin。
更夸張的是,除了家庭智能攝像頭外,城市管理、交通監(jiān)測(cè)的公共攝像頭中,也大量存在使用弱口令便可以打開(kāi)的隱患。
智能攝像頭和我們的“命”(家庭人身安全)和“錢”(家庭財(cái)產(chǎn)安全)息息相關(guān),難怪消息一出,人心惶惶,物聯(lián)網(wǎng)設(shè)備安全問(wèn)題被又一次推上風(fēng)口浪尖。
其實(shí),這遠(yuǎn)不是攝像頭第一次出事了。說(shuō)到智能攝像頭造成的安全事件,最有名的就要屬去年十月Mirai 病毒使得大半個(gè)美國(guó)互聯(lián)網(wǎng)陷入癱瘓那次:黑客通過(guò)互聯(lián)網(wǎng)控制了大量物聯(lián)網(wǎng)設(shè)備,然后操縱這些「肉雞」攻擊了美國(guó)的多個(gè)知名網(wǎng)站,包括 Twitter、Paypal、Spotify 在內(nèi)多個(gè)人們每天都用的網(wǎng)站被迫中斷服務(wù)。
事故原因調(diào)查表明,這些淪為“肉雞”的物聯(lián)網(wǎng)設(shè)備中有大量的 DVR(數(shù)字錄像機(jī),一般用來(lái)記錄監(jiān)控錄像,用戶可聯(lián)網(wǎng)查看)和網(wǎng)絡(luò)攝像頭(通過(guò) Wifi 來(lái)聯(lián)網(wǎng),用戶可以使用 App 進(jìn)行實(shí)時(shí)查看的攝像頭)。而據(jù)安全公司的數(shù)據(jù)顯示,參與本次 DDoS 攻擊的設(shè)備中,主要來(lái)自于中國(guó)雄邁科技生產(chǎn)的設(shè)備。這家公司生產(chǎn)的攝像模組被許多網(wǎng)絡(luò)攝像頭、DVR 解決方案廠家采用,在美國(guó)大量銷售。
好吧,不但是攝像頭的鍋,還是中國(guó)廠商攝像頭的鍋!
不過(guò),今天的文章可不談具體怎么執(zhí)行入侵這一操作,畢竟iot101君這種大好青年還不想年紀(jì)輕輕就進(jìn)局子里蹲著。我們這次來(lái)說(shuō)說(shuō),為什么在近年來(lái)頻發(fā)的物聯(lián)網(wǎng)安全事故中,受傷的總是攝像頭?
第一,視頻將很快占據(jù)絕大多數(shù)移動(dòng)數(shù)據(jù)流量,智能攝像頭成發(fā)展大勢(shì)
從需求側(cè)來(lái)說(shuō):智慧城市的建設(shè)對(duì)視頻數(shù)據(jù)的需求急劇增加。構(gòu)建智慧城市需要城市中各處的攝像頭記錄一天內(nèi)發(fā)生了什么——通過(guò)視頻分析,既能幫助公安部門進(jìn)行犯罪追蹤,也能幫助交通領(lǐng)域分析各個(gè)路段的路況,以為司機(jī)和出行的人們提供更便捷的信息。在家居領(lǐng)域,由于人們對(duì)個(gè)人財(cái)產(chǎn)和家人安全的保護(hù)意識(shí)逐步提升,智能攝像頭、可視門鈴等產(chǎn)品市場(chǎng)火熱。
2015 年5 月,發(fā)改委發(fā)布了由九部委聯(lián)合出臺(tái)《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(jiàn)》,首次量化了2020 年視頻監(jiān)控布控的總體目標(biāo):到2020 年重點(diǎn)公共區(qū)域視頻監(jiān)控覆蓋率達(dá)到100%,另外,要求重點(diǎn)行業(yè)、領(lǐng)域涉及公共區(qū)域的視頻圖像資源聯(lián)網(wǎng)率達(dá)到100%。
圖:《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(jiàn)》
從供給側(cè)來(lái)說(shuō),攝像頭從標(biāo)清到高清的跨越,實(shí)現(xiàn)了視頻監(jiān)控從“看得見(jiàn)”到“看得清”的轉(zhuǎn)變。高清攝像頭不僅讓人類看得更清楚,也能讓機(jī)器“看”得更清楚,從而讓機(jī)器更容易從中“讀懂”畫面的內(nèi)容,更準(zhǔn)確地提取人們關(guān)注的有效信息。網(wǎng)絡(luò)化攝像頭使得實(shí)時(shí)智能視頻分析成為現(xiàn)實(shí),在智能攝像頭發(fā)展大潮下代表攝像頭未來(lái)的發(fā)展趨勢(shì)。
智能攝像頭既面向海量消費(fèi)者,又背靠智慧城市建設(shè)過(guò)程中的大量企業(yè)級(jí)用戶,和一般的智能硬件相比,出貨量比較大。盤子大了,市場(chǎng)大了,又和人們的生活、財(cái)產(chǎn)、安全息息相關(guān),不法之徒才會(huì)覺(jué)得有機(jī)可乘。
第二,大量市售智能攝像頭存在安全隱患
正所謂蒼蠅不盯無(wú)縫的蛋,何況你給人家不法分子留了那么大一條縫兒~
360去年發(fā)布了一份《國(guó)內(nèi)智能家庭攝像頭安全狀況評(píng)估報(bào)告》,在對(duì)國(guó)內(nèi)近百個(gè)品牌的智能攝像頭進(jìn)行測(cè)試后發(fā)現(xiàn),有近8成產(chǎn)品存在安全缺陷。
傳輸未加密:大部分?jǐn)z像頭采用HTTPS協(xié)議進(jìn)行傳輸加密,但由于API接口配置不當(dāng),導(dǎo)致加密容易被破解。另外有一些攝像頭使用RTSP協(xié)議傳輸,但是協(xié)議內(nèi)容是明文傳輸?shù)?,這樣只要把地址復(fù)制到一個(gè)支持RTSP協(xié)議的播放器內(nèi),就可以獲得當(dāng)前智能攝像頭的界面。
未存在人機(jī)識(shí)別機(jī)制:在注冊(cè)、找回密碼等流程都需要人機(jī)識(shí)別機(jī)制來(lái)進(jìn)行安全驗(yàn)證,但許多攝像頭沒(méi)有人機(jī)識(shí)別機(jī)制,或者人機(jī)識(shí)別機(jī)制存在于本地,導(dǎo)致用戶密碼可被強(qiáng)制修改。
多數(shù)智能設(shè)備可橫向控制:在控制一個(gè)攝像頭之后,通過(guò)逆向分析、網(wǎng)絡(luò)活動(dòng)分析等手段判斷出控制設(shè)備的標(biāo)識(shí)和指令,如果沒(méi)有防重放參數(shù)就可以直播使用,然后根據(jù)一個(gè)或多個(gè)的設(shè)備控制標(biāo)識(shí)預(yù)測(cè)出其它設(shè)備控制標(biāo)識(shí),從而橫向控制大量智能設(shè)備。
客戶端沒(méi)有安全加固:大量攝像頭app沒(méi)有進(jìn)行混淆、加固,可以被輕易的逆向分析出源代碼。
代碼邏輯設(shè)備有缺陷:一些代碼設(shè)計(jì)缺陷也可能造成設(shè)備被控制,比如驗(yàn)證碼生成,一些開(kāi)發(fā)者為了節(jié)省資源,將生成機(jī)制放在本地,有的甚至可以直接看到驗(yàn)證碼,有的則可以暴力破解。
缺少遠(yuǎn)程更新機(jī)制:設(shè)備有漏洞就需要更新來(lái)補(bǔ)上,但很多攝像頭都沒(méi)有遠(yuǎn)程固件更新機(jī)制等等
這些問(wèn)題可能導(dǎo)致用戶監(jiān)控視頻被泄露,或智能攝像頭被惡意控制等種種危害。
同樣是在6月18日,國(guó)家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開(kāi)展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè):共從市場(chǎng)上采集樣品40批次,依據(jù)國(guó)標(biāo),對(duì)操作系統(tǒng)的更新、惡意代碼防護(hù)、身份鑒別、弱口令校驗(yàn)、訪問(wèn)控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲(chǔ)數(shù)據(jù)保護(hù)等項(xiàng)目進(jìn)行了檢測(cè)。結(jié)果表明:32批次樣品存在質(zhì)量安全隱患。
其中,20批次樣品初始密碼為弱口令,或者用戶注冊(cè)和修改密碼時(shí)未限制用戶密碼復(fù)雜度,這一點(diǎn)也是大部分物聯(lián)網(wǎng)設(shè)備都存在的最典型的安全隱患。對(duì)此,F(xiàn)lashpoint 安全公司的專家曾經(jīng)表示:“如果說(shuō)用戶可以輕松改密碼就好了,但是模組中的密碼被寫入到了固件中,還沒(méi)有工具可以修改這個(gè)模組的密碼。更可怕的是,用戶根本不知道還有這么一個(gè)密碼的存在?!?/P>
的確,如果你是一個(gè)向消費(fèi)者市場(chǎng)發(fā)布此類產(chǎn)品的公司,你不能期待消費(fèi)者擁有相關(guān)的安全知識(shí),因此,安全問(wèn)題需要從設(shè)計(jì)之初就開(kāi)始考慮。
智能攝像頭的安全問(wèn)題可謂種類繁多,對(duì)廠商來(lái)說(shuō),需要從云端、硬件端和客戶端三方面都做好安全設(shè)計(jì);而對(duì)智能攝像頭的用戶來(lái)說(shuō),自我防范意識(shí)也很重要,具體來(lái)說(shuō)應(yīng)做到以下幾點(diǎn):
1.不要使用原始預(yù)設(shè)的或過(guò)于簡(jiǎn)單的用戶名與密碼,而且要定期進(jìn)行更換;
2.攝像頭不要正對(duì)臥室、浴室等隱私區(qū)域,并要經(jīng)常檢查攝像頭的角度是否發(fā)生變化;
3.養(yǎng)成定期查殺病毒的好習(xí)慣。
4.及時(shí)更新智能攝像頭操作系統(tǒng)版本和相關(guān)的移動(dòng)應(yīng)用,發(fā)現(xiàn)異常應(yīng)立即停止使用,并向生產(chǎn)廠商反饋,等待廠商修復(fù)。
2024-07-07 09:37
2024-07-02 09:34
2024-07-01 08:06
2024-06-26 09:25
2024-06-24 07:48
2024-06-24 07:41
2024-06-19 11:06
2024-06-18 09:56