傳網(wǎng)絡(luò)攝像機(jī)現(xiàn)漏洞 黑客可輕易獲取拍攝內(nèi)容

責(zé)任編輯:editor006

作者:范博韜 石愛華

2016-02-26 17:38:11

摘自:法制晚報(bào)

技術(shù)人員隨機(jī)挑選了海康、小蟻等多個(gè)品牌的網(wǎng)絡(luò)攝像機(jī),為其設(shè)定了IP地址,并用上述步驟進(jìn)行實(shí)驗(yàn)。小蟻等網(wǎng)絡(luò)攝像機(jī)防范手段更加復(fù)雜,在測(cè)試時(shí),技術(shù)人員無法利用網(wǎng)帖中提到的漏洞對(duì)其進(jìn)行攻擊。

 

技術(shù)人員利用網(wǎng)絡(luò)漏洞,輕易“入侵”家用攝像頭,私生活一覽無余 視頻截圖

 

技術(shù)人員利用網(wǎng)絡(luò)漏洞,輕易“入侵”家用攝像頭,私生活一覽無余

出門在外還可以讓你隨時(shí)查看家中情況,網(wǎng)絡(luò)攝像機(jī)已被越來越多的家庭所青睞。但關(guān)于它可能造成隱私泄露的問題也一直被關(guān)注。近日,有網(wǎng)帖稱又發(fā)現(xiàn)了一個(gè)網(wǎng)絡(luò)漏洞,可讓黑客輕易獲取攝像機(jī)的拍攝內(nèi)容。

昨天,專業(yè)實(shí)驗(yàn)室技術(shù)人員為《法制晚報(bào)》記者做了驗(yàn)證,利用這個(gè)漏洞果然成功“入侵”多個(gè)攝像頭,他們的私生活被“實(shí)時(shí)直播”。而這一漏洞可能造成4萬多個(gè)攝像頭存在泄密風(fēng)險(xiǎn)。

不過當(dāng)對(duì)市面上的部分常見品牌網(wǎng)絡(luò)攝像機(jī)攻擊時(shí),因其有驗(yàn)證程序,“入侵”未成功。專家提示,應(yīng)及時(shí)升級(jí)固件,同時(shí)可在不使用的時(shí)候進(jìn)行遮蔽處理。

發(fā)現(xiàn)漏洞

不用攻擊網(wǎng)絡(luò)

可實(shí)時(shí)監(jiān)看拍攝內(nèi)容

近日,一片名為《RTSP未授權(quán)訪問來獲取攝像頭內(nèi)容》的網(wǎng)帖引起了網(wǎng)友的關(guān)注。

網(wǎng)帖稱,RTSP是一種實(shí)時(shí)流傳輸協(xié)議,該協(xié)議被廣泛用于視頻直播領(lǐng)域。這正好符合了網(wǎng)絡(luò)攝像頭實(shí)時(shí)觀看的功能。因此,許多攝像頭廠商會(huì)在攝像頭中開啟RTSP服務(wù)器,用戶可通過視頻播放軟件打開地址進(jìn)行攝像頭畫面的實(shí)時(shí)查看。

但是由于安防設(shè)計(jì)不到位,許多廠商并沒有配套相應(yīng)的身份認(rèn)證手段。導(dǎo)致任何人都可以在未經(jīng)授權(quán)的情況下直接通過地址觀看到攝像頭拍攝的實(shí)時(shí)內(nèi)容。

技術(shù)人員介紹,網(wǎng)絡(luò)攝像機(jī)的操作是通過網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)的。以往黑客都是通過對(duì)IP地址發(fā)動(dòng)攻擊或是攻擊服務(wù)器獲得相應(yīng)的操縱權(quán),而此次發(fā)現(xiàn)的漏洞甚至可以免除攻擊的“麻煩”,因?yàn)闆]有認(rèn)證,只要找到IP地址和打開方式就可以實(shí)時(shí)操縱。

實(shí)驗(yàn)

●隨機(jī)實(shí)驗(yàn) 輕易“入侵” 看電視表情變化都能看到

昨日,360攻防實(shí)驗(yàn)室的技術(shù)人員為記者演示了漏洞的危害。通過搜索網(wǎng)絡(luò)IP地址,技術(shù)人員在沒有任何阻攔的情況下便“入侵”了一個(gè)網(wǎng)絡(luò)攝像頭。

IP地址顯示,這是位于香港地區(qū)的一戶家庭。攝像頭應(yīng)該安裝于客廳頂部,畫面清晰,整個(gè)房間的布局陳設(shè)一目了然。可看到一名30歲左右的女士在收拾家務(wù),一個(gè)幾歲的孩子正在沙發(fā)上玩耍,孩子的笑容以及茶幾上擺放的食物清晰可見。

而另一個(gè)被“入侵”的攝像頭則安放在了電視上方,調(diào)取的畫面顯示,一位戴眼鏡的男士聚精會(huì)神地看著電視,可能太過入神,面部表情在不斷變化。大約10分鐘后,男士用遙控器關(guān)閉電視,起身離開。

此外,通過調(diào)取畫面,記者注意到,還有部分企業(yè)安裝的攝像頭也存在這樣的風(fēng)險(xiǎn),其中一家企業(yè)的攝像頭正對(duì)著員工的電腦屏幕,很容易造成泄密。

通過全網(wǎng)掃描,技術(shù)人員發(fā)現(xiàn)了45488個(gè)是高風(fēng)險(xiǎn)網(wǎng)絡(luò)接入端口。這些端口無需認(rèn)證就可以直接獲得視頻資料,并實(shí)時(shí)監(jiān)看。其中,中國(guó)境內(nèi)共有18230個(gè)攝像機(jī)受到影響。

●品牌實(shí)驗(yàn) 市售產(chǎn)品需安全驗(yàn)證 成功抵御漏洞攻擊

上述實(shí)驗(yàn)方法無法獲知被入侵的網(wǎng)絡(luò)攝像機(jī)的品牌,那么市售網(wǎng)絡(luò)攝像機(jī)中是否存在這樣的風(fēng)險(xiǎn)?

技術(shù)人員隨機(jī)挑選了海康、小蟻等多個(gè)品牌的網(wǎng)絡(luò)攝像機(jī),為其設(shè)定了IP地址,并用上述步驟進(jìn)行實(shí)驗(yàn)。

實(shí)驗(yàn)過程中,技術(shù)人員發(fā)現(xiàn)海康攝像機(jī)需要輸入用戶設(shè)定的用戶名和密碼才能進(jìn)行實(shí)時(shí)畫面的調(diào)取。而如果想破解用戶名和密碼則需要其他的攻擊手段,非常繁瑣。且一旦用戶更換了密碼,之前的破解工作也就白費(fèi)了。

小蟻等網(wǎng)絡(luò)攝像機(jī)防范手段更加復(fù)雜,在測(cè)試時(shí),技術(shù)人員無法利用網(wǎng)帖中提到的漏洞對(duì)其進(jìn)行攻擊。

技術(shù)解讀

漏洞低級(jí)解決簡(jiǎn)單

只需設(shè)置安全賬戶

早在2007年就有利用漏洞控制攝像機(jī)造成泄密的報(bào)道。當(dāng)時(shí)黑客主要是通過攻擊電腦系統(tǒng),獲得用戶主機(jī)的控制權(quán),再打開探頭的。而隨著互聯(lián)網(wǎng)安全技術(shù)的發(fā)展,這樣的攻擊逐漸減少。取而代之的是對(duì)直接連在網(wǎng)絡(luò)上的網(wǎng)絡(luò)攝像機(jī)進(jìn)行攻擊。

據(jù)介紹,此次發(fā)現(xiàn)的漏洞比較低級(jí),在國(guó)內(nèi)涉及的大多是小品牌,甚至“山寨”廠商。

技術(shù)人員指出,此次發(fā)現(xiàn)的漏洞比較低級(jí),其可泄露的信息除了實(shí)時(shí)畫面外,別的就很少了。如果想了解用戶的住址、攝像機(jī)型號(hào)甚至進(jìn)行定點(diǎn)攻擊也是非常困難的。

這種漏洞不用太復(fù)雜的防御手段即可避免。廠商只需要求用戶設(shè)置安全賬戶就可以對(duì)這樣的漏洞起到一定的防范作用。

安全提示

及時(shí)升級(jí)固件

不使用時(shí)遮蔽攝像頭

安全技術(shù)人員提示,購(gòu)買網(wǎng)絡(luò)攝像機(jī)一定要選擇正規(guī)的大品牌,不要圖便宜而造成更大的損失。同時(shí),要提高自身的安全防范意識(shí),記得定期升級(jí)安全固件,并時(shí)常更換密碼。而如果用戶在家或是暫不使用,可以考慮將攝像頭用膠布等進(jìn)行遮擋或封閉,即使被破解,也讓對(duì)方無法觀看。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)