出门在外还可以让你随时查看家中情况,网络摄像机已被越来越多的家庭所青睐。但关于它可能造成隐私泄露的问题也一直被关注。近日,有网帖称又发现了一个网络漏洞,可让黑客轻易获取摄像机的拍摄内容。
昨天,专业实验室技术人员为《法制晚报》记者做了验证,利用这个漏洞果然成功“入侵”多个摄像头,他们的私生活被“实时直播”。而这一漏洞可能造成4万多个摄像头存在泄密风险。
不过当对市面上的部分常见品牌网络摄像机攻击时,因其有验证程序,“入侵”未成功。专家提示,应及时升级固件,同时可在不使用的时候进行遮蔽处理。
发现漏洞不用攻击网络
可实时监看拍摄内容
近日,一片名为《RTSP未授权访问来获取摄像头内容》的网帖引起了网友的关注。
网帖称,RTSP是一种实时流传输协议,该协议被广泛用于视频直播领域。这正好符合了网络摄像头实时观看的功能。因此,许多摄像头厂商会在摄像头中开启RTSP服务器,用户可通过视频播放软件打开地址进行摄像头画面的实时查看。
但是由于安防设计不到位,许多厂商并没有配套相应的身份认证手段。导致任何人都可以在未经授权的情况下直接通过地址观看到摄像头拍摄的实时内容。
技术人员介绍,网络摄像机的操作是通过网络技术实现的。以往黑客都是通过对IP地址发动攻击或是攻击服务器获得相应的操纵权,而此次发现的漏洞甚至可以免除攻击的“麻烦”,因为没有认证,只要找到IP地址和打开方式就可以实时操纵。
实验
●随机实验轻易“入侵”看电视表情变化都能看到
昨日,技术人员为记者演示了漏洞的危害。通过搜索网络IP地址,技术人员在没有任何阻拦的情况下便“入侵”了一个网络摄像头。
IP地址显示,这是位于香港地区的一户家庭。摄像头应该安装于客厅顶部,画面清晰,整个房间的布局陈设一目了然。可看到一名30岁左右的女士在收拾家务,一个几岁的孩子正在沙发上玩耍,孩子的笑容以及茶几上摆放的食物清晰可见。
而另一个被“入侵”的摄像头则安放在了电视上方,调取的画面显示,一位戴眼镜的男士聚精会神地看着电视,可能太过入神,面部表情在不断变化。大约10分钟后,男士用遥控器关闭电视,起身离开。
此外,通过调取画面,记者注意到,还有部分企业安装的摄像头也存在这样的风险,其中一家企业的摄像头正对着员工的电脑屏幕,很容易造成泄密。
通过全网扫描,技术人员发现了45488个是高风险网络接入端口。这些端口无需认证就可以直接获得视频资料,并实时监看。其中,中国境内共有18230个摄像机受到影响。
●品牌实验市售产品需安全验证成功抵御漏洞攻击
上述实验方法无法获知被入侵的网络摄像机的品牌,那么市售网络摄像机中是否存在这样的风险?
技术人员随机挑选了海康、小蚁等多个品牌的网络摄像机,为其设定了IP地址,并用上述步骤进行实验。
实验过程中,技术人员发现海康摄像机需要输入用户设定的用户名和密码才能进行实时画面的调取。而如果想破解用户名和密码则需要其他的攻击手段,非常繁琐。且一旦用户更换了密码,之前的破解工作也就白费了。
小蚁等网络摄像机防范手段更加复杂,在测试时,技术人员无法利用网帖中提到的漏洞对其进行攻击。
技术解读
漏洞低级解决简单
只需设置安全账户
早在2007年就有利用漏洞控制摄像机造成泄密的报道。当时黑客主要是通过攻击电脑系统,获得用户主机的控制权,再打开探头的。而随着互联网安全技术的发展,这样的攻击逐渐减少。取而代之的是对直接连在网络上的网络摄像机进行攻击。
据介绍,此次发现的漏洞比较低级,在国内涉及的大多是小品牌,甚至“山寨”厂商。
技术人员指出,此次发现的漏洞比较低级,其可泄露的信息除了实时画面外,别的就很少了。如果想了解用户的住址、摄像机型号甚至进行定点攻击也是非常困难的。
这种漏洞不用太复杂的防御手段即可避免。厂商只需要求用户设置安全账户就可以对这样的漏洞起到一定的防范作用。
安全提示
及时升级固件
不使用时遮蔽摄像头
安全技术人员提示,购买网络摄像机一定要选择正规的大品牌,不要图便宜而造成更大的损失。同时,要提高自身的安全防范意识,记得定期升级安全固件,并时常更换密码。而如果用户在家或是暂不使用,可以考虑将摄像头用胶布等进行遮挡或封闭,即使被破解,也让对方无法观看。
微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端(戳这里)也可参与评论抽楼层大奖!