利用摄像头进行视频聊天、监控宠物、安全防护……如今,与互联网相连接的摄像头,已经应用、渗透到了生活的各个环节,具有摄录功能的设备,随处可见。
然而,这些具有联网、云端存储,甚至公网开放服务等功能的摄像头,在提供便捷操作的同时,也让为利益或猎奇心理所驱使的黑客有了可乘之机。
近日,北京华顺信安科技有限公司与白帽汇安全研究院联合发布的《网络空间测绘系列 ——2018年摄像头安全报告》(以下简称“报告”)显示,2017年起,摄像头漏洞数量呈现爆发式增长。截至2018年11月,摄像头漏洞有221条,较2017全年的186条相比,增长19%。
具体来看,摄像头设备存在的漏洞类型包括权限绕过、拒绝服务、信息泄漏、跨站、命令执行、缓冲区溢出、SQL 注入、弱口令、设计缺陷等。
其中,权限绕过、信息泄漏、代码执行等类型漏洞数量占比最高,分别占所有漏洞类型总数的23%、15%和10%。
更为值得关注的是,《报告》显示,厂商或厂商被攻击者入侵而在设备中制造的后门的硬编码、默认密码、隐藏后门等漏洞占比高达6%。
近两年,摄像头存在严重漏洞的情况屡被爆出,敲响了安全的警钟。
2018年6月,Axis摄像头被ADOO安全公司发现7个安全漏洞,攻击者可以利用这些漏洞以root权限执行任意命令;
2018年8 月,Swann摄像头被发现存在访问控制缺陷,该漏洞可以将一个摄像头的视频流切换到另一个摄像头上,攻击者可以利用该漏洞访问任意摄像头……
除了漏洞,《报告》同时指出,摄像头对公网开放的问题,是全世界共同面临的重要挑战。
FOFA系统统计的全球228个国家和地区中,8063个城市的摄像头对外开放,涉及设备总数2635万。这意味着,摄像头对外暴露的国家和地区已经超过总数的90%,摄像头对外暴露的城市占比,已经超过58%。
此外,《报告》显示,视频输出是基于通用通信协议,无需特定的摄像头客户端,与HTTP协议类似,网络摄像头的协议几乎是相同的。这就意味着,一旦一个视频账号体系有缺陷且被渗透,将造成这一类账号体系被渗透的可能性直线上升。
当前,与网络相连接的具有摄像功能的设备数量众多,安全性常常被使用者忽视。同时,廉价的摄像头、监视器等物联网应用产品被大量应用在生活的各个方面,但与智能手机频繁更新不同,视频硬件固件更新频率屈指可数,造成诸多安全隐患。
《报告》指出,摄像头的非法应用已形成一条集黑客破解、买卖、偷窥于一体的黑产链。
《报告》建议,普通消费者要做的第一件事,就是修改自家视频操控系统的默认用户名和密码,避免简单易破解密码给予黑客便利。同时,及时对硬件固件进行更新,加强漏洞修复。
对于企业用户,应通过网络空间测绘技术,从暴露情况、漏洞、隐患等多方面对摄像头应用的安全威胁和相关黑色产业攻击行为进行深度剖析,并利用网络空间测绘技术对摄像头进行安全排查,搭建安全防护体系,从根源上促使摄像头使用生态实现优化。