4万多个网络摄像头现新漏洞
- 发布时间:2016-02-29 09:29:38 来源:福州晚报 责任编辑:罗伯特
■法晚
出门在外可以随时查看家中情况,网络摄像机已被越来越多的家庭所青睐。但关于它可能造成隐私泄露的问题也一直被关注。近日有网帖称又发现了一个网络漏洞,可让黑客轻易获取摄像机的拍摄内容。
专业实验室技术人员做了验证,利用漏洞果然成功“入侵”多个摄像头,他们的私生活被直播。而这一漏洞可能造成4万多个摄像头存在泄密风险。不过当对市面上的部分常见品牌网络摄像机攻击时,因其有验证程序,“入侵”未成功。专家提示,应及时升级固件,同时可在不使用的时候进行遮蔽处理。
不用攻击网络可实时监看拍摄内容
近日,一则名为《RTSP未授权访问来获取摄像头内容》的网帖引起了网友的关注。网帖称,RT?SP是一种实时流传输协议,该协议被广泛用于视频直播领域。这正好符合了网络摄像头实时观看的功能。因此,许多摄像头厂商会在摄像头中开启RTSP服务器,用户可通过视频播放软件打开地址进行摄像头画面的实时查看。
但是由于安防设计不到位,许多厂商并没有配套相应的身份认证手段。导致任何人都可以在未经授权的情况下直接通过地址观看到摄像头拍摄的实时内容。
技术人员介绍,网络摄像机的操作是通过网络技术实现的。以往黑客都是通过对IP地址发动攻击或是攻击服务器获得相应的操纵权,而此次发现的漏洞甚至可以免除攻击的“麻烦”,因为没有认证,只要找到IP地址和打开方式就可以实时操纵。
轻易“入侵”表情变化都能看到
360攻防实验室的技术人员演示了漏洞的危害。通过搜索网络IP地址,技术人员在没有任何阻拦的情况下便“入侵”了一个网络摄像头。IP地址显示,这是位于香港地区的一户家庭。摄像头应该安装于客厅顶部,画面清晰,整个房间的布局陈设一目了然。可看到一名30岁左右的女士在收拾家务,一个孩子正在沙发上玩耍,孩子的笑容以及茶几上摆放的食物清晰可见。
而另一个被“入侵”的摄像头则安放在了电视上方,调取的画面显示,一位戴眼镜的男士聚精会神地看着电视,可能太过入神,面部表情在不断变化。大约10分钟后,男士用遥控器关闭电视,起身离开。
此外,通过调取画面,记者注意到,还有部分企业安装的摄像头也存在这样的风险,其中一家企业的摄像头正对着员工的电脑屏幕,很容易造成泄密。通过全网扫描,技术人员发现了45488个高风险网络接入端口。这些端口无需认证就可以直接获得视频资料,并实时监看。其中,中国境内共有18230个摄像头受到影响。
漏洞低级解决简单只需设置安全账户
早在2007年就有利用漏洞控制摄像头造成泄密的报道。当时黑客主要是通过攻击电脑系统,获得用户主机的控制权,再打开探头的。而随着互联网安全技术的发展,这样的攻击逐渐减少。取而代之的是对直接连在网络上的网络摄像头进行攻击。
据介绍,此次发现的漏洞比较低级,在国内涉及的大多是小品牌,甚至“山寨”厂商。技术人员指出,此次发现的漏洞比较低级,其可泄露的信息除了实时画面外,别的就很少了。如果想了解用户的住址、摄像头型号甚至进行定点攻击也是非常困难的。这种漏洞不用太复杂的防御手段即可避免。厂商只需要求用户设置安全账户就可以对这样的漏洞起到一定的防范作用。
及时升级固件不用时遮蔽摄像头
安全技术人员提示,购买网络摄像头一定要选择正规的大品牌,不要图便宜而造成更大的损失。同时要提高自身的安全防范意识,记得定期升级安全固件,并时常更换密码。而如果用户在家或是暂不使用,可以考虑将摄像头用胶布等进行遮挡或封闭,即使被破解,也让对方无法观看。