出門在外還可以讓你隨時查看家中情況����,網(wǎng)絡攝像機已被越來越多的家庭所青睞。但關于它可能造成隱私泄露的問題也一直被關注���。近日�����,有網(wǎng)帖稱又發(fā)現(xiàn)了一個網(wǎng)絡漏洞��,可讓黑客輕易獲取攝像機的拍攝內容���。
昨天,專業(yè)實驗室技術人員為《法制晚報》記者做了驗證�����,利用這個漏洞果然成功“入侵”多個攝像頭���,他們的私生活被“實時直播”�。而這一漏洞可能造成4萬多個攝像頭存在泄密風險。
不過當對市面上的部分常見品牌網(wǎng)絡攝像機攻擊時�,因其有驗證程序,“入侵”未成功�����。專家提示���,應及時升級固件���,同時可在不使用的時候進行遮蔽處理。
發(fā)現(xiàn)漏洞
不用攻擊網(wǎng)絡 可實時監(jiān)看拍攝內容
近日���,一片名為《RTSP未授權訪問來獲取攝像頭內容》的網(wǎng)帖引起了網(wǎng)友的關注�����。
網(wǎng)帖稱��,RTSP是一種實時流傳輸協(xié)議��,該協(xié)議被廣泛用于視頻直播領域�����。這正好符合了網(wǎng)絡攝像頭實時觀看的功能��。因此���,許多攝像頭廠商會在攝像頭中開啟RTSP服務器,用戶可通過視頻播放軟件打開地址進行攝像頭畫面的實時查看��。
但是由于安防設計不到位���,許多廠商并沒有配套相應的身份認證手段�。導致任何人都可以在未經授權的情況下直接通過地址觀看到攝像頭拍攝的實時內容����。
技術人員介紹,網(wǎng)絡攝像機的操作是通過網(wǎng)絡技術實現(xiàn)的��。以往黑客都是通過對IP地址發(fā)動攻擊或是攻擊服務器獲得相應的操縱權���,而此次發(fā)現(xiàn)的漏洞甚至可以免除攻擊的“麻煩”�,因為沒有認證��,只要找到IP地址和打開方式就可以實時操縱。
實驗
●隨機實驗 輕易“入侵” 看電視表情變化都能看到
昨日�,360攻防實驗室的技術人員為記者演示了漏洞的危害。通過搜索網(wǎng)絡IP地址��,技術人員在沒有任何阻攔的情況下便“入侵”了一個網(wǎng)絡攝像頭�。
IP地址顯示,這是位于香港地區(qū)的一戶家庭�。攝像頭應該安裝于客廳頂部,畫面清晰���,整個房間的布局陳設一目了然��?��?煽吹揭幻?0歲左右的女士在收拾家務,一個幾歲的孩子正在沙發(fā)上玩耍�����,孩子的笑容以及茶幾上擺放的食物清晰可見�����。
而另一個被“入侵”的攝像頭則安放在了電視上方��,調取的畫面顯示,一位戴眼鏡的男士聚精會神地看著電視��,可能太過入神����,面部表情在不斷變化。大約10分鐘后����,男士用遙控器關閉電視���,起身離開��。
此外��,通過調取畫面�,記者注意到�����,還有部分企業(yè)安裝的攝像頭也存在這樣的風險�����,其中一家企業(yè)的攝像頭正對著員工的電腦屏幕,很容易造成泄密����。
通過全網(wǎng)掃描,技術人員發(fā)現(xiàn)了45488個是高風險網(wǎng)絡接入端口��。這些端口無需認證就可以直接獲得視頻資料�,并實時監(jiān)看。其中�����,中國境內共有18230個攝像機受到影響��。
●品牌實驗 市售產品需安全驗證 成功抵御漏洞攻擊
上述實驗方法無法獲知被入侵的網(wǎng)絡攝像機的品牌���,那么市售網(wǎng)絡攝像機中是否存在這樣的風險���?
技術人員隨機挑選了海康�����、小蟻等多個品牌的網(wǎng)絡攝像機���,為其設定了IP地址�,并用上述步驟進行實驗。
實驗過程中���,技術人員發(fā)現(xiàn)?��?禂z像機需要輸入用戶設定的用戶名和密碼才能進行實時畫面的調取。而如果想破解用戶名和密碼則需要其他的攻擊手段���,非常繁瑣��。且一旦用戶更換了密碼�,之前的破解工作也就白費了����。
小蟻等網(wǎng)絡攝像機防范手段更加復雜��,在測試時�����,技術人員無法利用網(wǎng)帖中提到的漏洞對其進行攻擊���。
技術解讀
漏洞低級解決簡單 只需設置安全賬戶
早在2007年就有利用漏洞控制攝像機造成泄密的報道�����。當時黑客主要是通過攻擊電腦系統(tǒng)�,獲得用戶主機的控制權,再打開探頭的����。而隨著互聯(lián)網(wǎng)安全技術的發(fā)展,這樣的攻擊逐漸減少���。取而代之的是對直接連在網(wǎng)絡上的網(wǎng)絡攝像機進行攻擊����。
據(jù)介紹��,此次發(fā)現(xiàn)的漏洞比較低級���,在國內涉及的大多是小品牌�����,甚至“山寨”廠商�����。
技術人員指出��,此次發(fā)現(xiàn)的漏洞比較低級���,其可泄露的信息除了實時畫面外�����,別的就很少了��。如果想了解用戶的住址��、攝像機型號甚至進行定點攻擊也是非常困難的����。
這種漏洞不用太復雜的防御手段即可避免����。廠商只需要求用戶設置安全賬戶就可以對這樣的漏洞起到一定的防范作用��。
安全提示
及時升級固件 不使用時遮蔽攝像頭
安全技術人員提示����,購買網(wǎng)絡攝像機一定要選擇正規(guī)的大品牌����,不要圖便宜而造成更大的損失���。同時���,要提高自身的安全防范意識,記得定期升級安全固件����,并時常更換密碼。而如果用戶在家或是暫不使用�����,可以考慮將攝像頭用膠布等進行遮擋或封閉�����,即使被破解�����,也讓對方無法觀看。
百姓關心的���,就是本安全網(wǎng)關注的����,與百姓日常生活相關的生活常識�����、安全常識都可以在這里找尋���。
為更好的為公眾說明安全知識的重要性��,本站引用了部分來源于網(wǎng)絡的圖片插圖���,無任何商業(yè)性目的。適用于《信息網(wǎng)絡傳播權保護條例》第六條“為介紹���、評論某一作品或者說明某一問題����,在向公眾提供的作品中適當引用已經發(fā)表的作品”之規(guī)定�。如果權利人認為受到影響,請與我方聯(lián)系����,我方核實后立即刪除。
