摄像头如何被他人控制 设备极易被黑客批量扫描利用

北京青年报

家用的摄像头在带来方便的同时也带来了安全隐患,不仅家用摄像头容易被控制,个人隐私泄露,还有可能被不法分子大规模劫持,致使网络瘫痪。在众多QQ群内,一套188元的软件就可以查看他人家庭的实时画面,还可以进行远程操控,包括转动、静止、放大等。

国家质检总局日前对40批次智能摄像头进行的质量安全风险监测表明,8成摄像头都存在安全隐患。在选购智能摄像头时,最好选择正规渠道,并定期更改密码、及时更新硬件。

在QQ群搜索“摄像头”能看到不少类似的群

在QQ群搜索“摄像头”能看到不少类似的群

摄像头被曝隐私安全

现如今,很多人家里都装有智能摄像头。主人可以随时用手机看看家里的情况,比如老人独自在家是否安全,保姆带娃是否尽责,有没有进小偷之类的。不过,涉及个人隐私的智能摄像头可能并不安全。在网上,只需花一百多元购买扫描软件,便可以攻破家庭摄像头的IP地址,从而观看别人家的视频内容,甚至操控该摄像头。

根据央视报道,在QQ内有众多关键词为“摄像头破解”的聊天群,随机加入几个聊天群,发现聊天的内容绝大多数有关家庭摄像隐私。多个群友主动加好友,号称“能够攻破摄像头IP地址”。还有的群内,IP地址会被群主作为聚拢人气的礼物,免费向群员发放。在有个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址,每份都被下载了几百次。

在支付188元购买了两款软件和详细使用教程后,输入卖家提供的IP地址、登录名和密码,竟然成功进入了多个家庭摄像头,看到了家里的情景。记者联系上一家摄像头的主人,向她核实摄像头是否为家中实时图像,对方承认的确为自己家中,并表示十分惊诧。

除了偷窥之外,他人还可能控制家里的摄像头,比如让摄像头旋转、放大、静止等。据北京青年报记者了解,一些摄像头正是利用画面的突然改变从而提醒主人家中是否有意外情况,比如在家中无人时,被拍摄画面中如果突然有他人进入,则会提示主人可能有小偷;而一旦摄像头被控制,画面静止后,摄像头就失去了原本的意义,如对方知晓家庭住址等信息,不仅知道家中何时没有人,还可以稳住主人,实施一些违法行为。

摄像头城市画面被泄露

实际上,存在安全漏洞的不只是家庭摄像头。据国家互联网应急中心的专家介绍,用于城市管理、交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题。因此,这类摄像头很容易被入侵。

360攻防实验室的专家刘健皓表示,此前在一个名为“Shodan”的网站收录了成千上万网络摄像头拍摄的照片,是由于网络摄像头实时流传输协议存在安全漏洞。该网站收录了中国大陆地区的摄像头拍摄画面共有49个,涉及广州、北京、合肥、南京、重庆等城市。

其中一个位于北京北海东侧、景山后街的一家服装店收银台上方的摄像头清晰地记录了店内情况,包括计算机、电话、账本POS机等物品清晰可见,还可以看到一名女子正在盘点钱款。

另外,在知乎问答上,有多名网友贴出了多个网站的摄像头截图,其中一张截图中,两名身穿疑似公安系统制服的工作人员正在一间房间内办公,另有工厂内、公园内、教室内、街头等多个场景的摄像头画面。

摄像头缘何成公开眼?

本身是只有自己可以控制和查看的摄像头,为何会被他人控制?其一大原因就是其用户名、密码太简单,也就是“弱口令”。一些用户在安装摄像头时,并不会修改密码,或修改为更加简单的密码,如连续的数字或字母。在网上购买的扫描器,正是利用了这一漏洞,大范围扫描各种智能设备,如果恰好可以用原始密码或简单密码攻破,就会被记录。

另外,猎豹移动安全专家指出:由于家庭摄像头暴露外网管理页面,设备存在弱口令或其他漏洞,很容易被黑客大批量扫描利用。除此之外,以下两点也是隐私视频被泄露的主要途径:1、摄像头厂商的管理后台存在漏洞或缺陷接口,被黑客通过SQL注入或者撞库等方式窃取用户管理密码,甚至可能被利用管理后台监控所有用户。2、摄像头开启云端监控功能。一旦云服务器厂商出现漏洞或云服务授权KEY泄漏,将导致所有用户隐私视频的大范围泄漏;用户隐私视频上传云端的整个过程缺乏有效的监管,在监控视频传输、存储的各环节都存在泄漏风险。

大量摄像头存风险

日前,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测。结果仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。

18日,质检总局也对40批次的智能摄像头进行质量安全风险监测,结果表明,32批次样品存在质量安全隐患。也就是说,八成的智能摄像头存在安全风险。结果表明,32批次样品存在质量安全隐患。

其中,28批次样品数据传输未加密;20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;18批次样品在身份鉴别方面,未提供登录失败处理功能;16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;10批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;8批次样品未对恶意代码和特殊字符进行有效过滤;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。上述问题可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。

去年5月,360安全实验室也曾对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷、弱口令等安全设计缺陷。

智能硬件漏洞或致网络瘫痪

不安全的智能摄像头除了会带来用户隐私被侵犯问题,还有可能酿成大祸。去年10月,美国爆发大规模网络瘫痪事故,多个城市的主要网站被攻击,包括推特、亚马逊、Paypal等在内的大量互联网知名网站数小时无法正常访问。该事故就被认为是智能摄像头、路由器、录像机等设备的密码问题所致。

360攻防实验室负责人刘健皓介绍,该病毒影响如此大的重要的原因是因为有如此之多的网络摄像头、数字录像机等设备生产出来时附带的默认密码从未更改过,一次简单的互联网扫描就能识别出这些密码。这样,手里掌握大量智能硬件漏洞的组织,就可以轻易地利用这样的程序,调动所有有漏洞的硬件发起进攻。

当然,智能硬件厂商在安全方面的表现也不尽如人意。刘健皓称,相当数量的智能硬件携带非常多的漏洞,这些漏洞往往是低级的,甚至由于很多硬件厂商选用相同的底层方案,这些漏洞还是通用的,一旦被不法分子利用,其后果不堪设想,这次美国断网事件就是一个很好的例证。

安全提醒

如何选购智能摄像头

普通消费者应当如何选择智能摄像头呢?质检总局提示广大消费者,在选购和使用智能摄像头产品时,要注意以下几点:

一是选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息。

二是增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。

三是使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。

四是及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。

文/本报记者 温婧