技术人员利用网络漏洞轻松“入侵”家用摄像头,私生活一览无余。视频截图
晚报讯(记者范、史爱华)出门在外,可以随时查看家里的情况。网络摄像头已经受到越来越多家庭的青睐。然而,它可能导致隐私泄露的问题一直被关注提出。最近,一个网帖称,又发现了一个网络漏洞,黑客可以轻松获取相机的拍摄内容。
昨日,专业化验员向《法制晚报》记者核实。利用这个漏洞,他们成功“入侵”多个摄像头,私生活被“直播”。该漏洞可能导致超过4万个摄像头泄露。
但在攻击市面上一些常见的品牌网络摄像机时,由于其验证程序的原因,“入侵”并不成功。专家建议,固件要及时升级,不用的时候可以屏蔽。
找到漏洞
不需要攻击网络
拍摄内容的实时监控
近日,一个名为《RTSP未授权访问来获取摄像头内容》的网帖在网友中引起了关注。
帖子称,RTSP是一种实时流媒体协议,广泛应用于视频直播领域。这正好符合网络摄像头的实时查看功能。所以很多相机厂商都会在相机中开放RTSP服务器,用户可以通过视频播放软件打开地址,实时查看相机图像。
但由于安全设计不到位,很多厂商没有相应的认证手段。这样一来,任何人都可以在没有授权的情况下,直接通过地址观看摄像头拍摄的实时内容。
技术介绍,网络摄像机的操作是通过网络技术实现的。以前黑客都是通过攻击IP地址或者攻击服务器来获得相应的操控权,但这次发现的漏洞甚至可以避免攻击的“麻烦”。因为没有认证,他们只要找到IP地址和打开方式就可以实时操纵。
实验
随机实验容易“入侵”,可以看到电视表情的变化。
昨天,360攻防实验室的技术人员为记者演示了该漏洞的危害。通过搜索网络IP地址,技术人员毫无阻碍地“入侵”了一台网络摄像头。
IP地址显示这是一个位于香港的家庭。摄像头要安装在客厅顶部,画面清晰,整个房间的布局一目了然。你可以看到一个30岁的女人在做家务,一个几岁的孩子在沙发上玩耍,孩子的笑容和茶几上的食物清晰可见。
另一个“被入侵”的摄像头放在电视上方,抓拍到的画面显示,一名戴眼镜的男子正在全神贯注地看电视,面部表情在不断变化。大约10分钟后,男子用遥控器关掉电视,起身离开。
此外,通过拍照,记者注意到一些企业安装的摄像头也存在这样的风险,有一家企业的摄像头正对着员工的电脑屏幕,容易造成泄密。
通过扫描整个网络,技术人员发现了一个高危网络接入端口。这些端口可以直接获取视频素材,无需认证,实时监控。其中,中国共有10款相机受到影响。
品牌实验商用产品需要安全验证才能成功抵御漏洞攻击。
以上实验方法无法知道被入侵的网络摄像头的品牌,那么市售的网络摄像头是否存在这样的风险?
技术人员随机选取了海康、蚂蚁等多个品牌的网络摄像机,设置好IP地址,按照上述步骤进行实验。
技术人员在实验过程中发现,海康相机需要输入用户设置的用户名和密码才能调取实时图像。如果要破解用户名和密码,就需要其他的攻击手段,非常繁琐。而一旦用户更改密码,之前的破解工作就白费了。
小蚁等网络摄像头防范起来比较复杂。在测试过程中,技术人员无法利用网帖中提到的漏洞进行攻击。
技术解释
漏洞低级解决方案很简单。
只要建立一个安全账户。
早在2007年就有通过漏洞控制摄像头导致泄密的报道。当时黑客通过攻击电脑系统获得了用户主机的控制权,然后打开了探头。随着互联网安全技术的发展,此类攻击逐渐减少。而是攻击直接连接网络的网络摄像头。
据介绍,这次发现的漏洞都是比较低级的,国内涉及的大多是小品牌甚至“山寨”厂商。
技术人员指出,这次发现的漏洞都是比较低级的,除了实时图像,能泄露的信息很少。也很难知道用户的地址,摄像头型号,甚至点攻击。
这种漏洞不需要太复杂的防御措施就可以避免。厂商只需要要求用户设置安全账号就可以防止此类漏洞。
安全提示
及时升级固件
不用的时候把相机盖上。
安全技术人员建议,购买网络摄像头一定要选择正规的大品牌,不要贪图便宜,造成更大的损失。同时,要提高自己的安全意识,记得定期升级安全固件,经常更换密码。如果用户在家或者暂时不用,可以考虑用胶带遮挡或者封闭摄像头,即使是裂了,也会让对方无法观看。
文/本报记者范石爱华
本文链接:http://www.slxf119.com/17049.html 转载需授权!
网友评论