■漏洞
设备存漏洞,隐私遭直播
然而,用户在获得方便的同时,由于这类摄像头采用互联网传输,用户的隐私也可能在不知不觉中遭到泄漏。
在一个名为“Shodan”的网站上,大量客厅、卧室的实时画面被发到网上,让人触目惊心。这些画面的来源,就来自网络摄像头。这些原本应该只有匹配的是设备才能收看的画面是如何泄露出去的呢?360攻防实验室介绍,主要是因为许多摄像头存在一个名为“RTSP(实时流传输协议)”的安全漏洞。通过这个漏洞,只要下载一个播放器,就能“在线观看”他人隐私。
360攻防实验室的技术人员介绍,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头中开启RTSP服务器,用户可通过VLC等视频播放软件打开RTSP地址进行摄像头画面的实时查看。但是,有的厂商并没有给RTSP地址做身份认证,导致本来属于隐私的摄像头画面变成“公开”模式,任何人都可以看到。
360攻防实验室技术人员轻松破解了一款正在工作的智能摄像头。
此前,技术人员曾专门做过实验。经过相关软件追踪扫描,技术人员的电脑里出现了多个摄像头画面。点进画面,右上方的时间显示,这正是摄像头看到的实时画面。这些摄像头画面有国内的也有国外的,画面包括客厅、楼道、停车场、办公室、收银台,甚至是卧室。
技术人员介绍,存在漏洞的摄像头IP地址是他们对互联网上所有的Ip地址扫描后分析得到的。他们在扫描这一安全漏洞时发现,摄像头不但能够看到家里的情况,甚至还能听得到声音。这种能够被搜索到的摄像头,全国有9000多个。“Shodan”网上的摄像头画面,都是通过这一漏洞外泄的。
360攻防实验室安全研究员贾文晓介绍,这些摄像头中有的因为没有密码,所以能够被搜索到。有的摄像头有默认口令,比如像“admin12345”这种比较简单的密码,一旦用户没有修改,摄像头所拍摄的画面也有可能被别人看到。此外,有的人在家里想知道办公室的情况,就主动将摄像头映射到公网上,这种虽然看到了办公室的情况,自己家的情况也同时暴露了。
■报告
8成摄像头存安全漏洞
专家介绍,目前在国内上市销售的智能摄像头品牌就多达107个,市场上销售的无品牌的山寨产品更是不计其数,然而由于参与智能摄像头设计生产和推广的相关企业繁杂,品牌众多,其中的很多产品都缺乏完善的安全相关设计,很容易被黑客控制。
5月11日360攻防实验室发布了中国首份《国内智能家庭摄像头安全状况评估报告》,在对国内市场上销售的近百个品牌的家庭智能摄像头进行的安全评估测试发现,近8成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。
360攻防实验室安全工程师刘健皓介绍,这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,随时获取摄像头的图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。
测试人员选择了一款在几个大型网上商城销量不错的智能摄像头,在360攻防实验室专家刘健皓的帮助下进行了安全监测测试。
测试人员先在手机上随便注册了一个账号,但是手机显示并没有设备接入到手机,页面还在提示测试人员“添加设备”,安全专家用电脑进行了几个简单的操作,测试人员再次进行手机刷新,手机竟然绑定了摄像头,页面竟然出现了一些办公室、厂库、家庭房等地的场景。
测试人员看到一些家庭的客厅、卧室的物品,甚至还可以看到两名穿着睡衣的女子在客厅内来回走动,客厅电视里正在播放着电视剧《欢乐颂》。另外一个家庭中,摄像头安装在了卧室,卧室的床铺被褥摆设也一目了然,令人震惊。
刘健皓解释,理论上来说,即使手机可以远程看到摄像头内容,但是必须注册,甚至要求“一对一”。但是很多摄像头与手机进行连接,并没有对手机身份进行验证,这是一个非常严重的漏洞,黑客可以通过漏洞,用一个虚拟的绑定就可以查看数百个摄像头实时画面。
而据刘健皓介绍,出现此漏洞的摄像头至少有数十款,其中包括了一些很著名的品牌。[编辑:光影]
分享
大家爱看
