網(wǎng)絡(luò)攝像頭近些年被廣泛應(yīng)用于家庭看護(hù)、安全監(jiān)控、遠(yuǎn)程協(xié)作等場(chǎng)景。由于網(wǎng)絡(luò)攝像頭需依托互聯(lián)網(wǎng)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、云端存儲(chǔ)等功能,如果安全防護(hù)不足,可能成為不法分子攻擊目標(biāo)。

 

近期,北京市互聯(lián)網(wǎng)信息辦公室聚焦網(wǎng)絡(luò)攝像頭隱私泄露風(fēng)險(xiǎn),開展了專項(xiàng)遠(yuǎn)程技術(shù)檢測(cè),僅未授權(quán)訪問漏洞類問題就發(fā)現(xiàn)200余個(gè),無需身份驗(yàn)證就可以獲取攝像頭控制權(quán)限,查看實(shí)時(shí)監(jiān)控畫面。檢測(cè)中還發(fā)現(xiàn),集成大量攝像頭設(shè)備的管理平臺(tái)問題尤為突出,經(jīng)對(duì)某監(jiān)控系統(tǒng)綜合管理平臺(tái)開展檢測(cè),該平臺(tái)全國共625個(gè)互聯(lián)網(wǎng)資產(chǎn)中,有219個(gè)存在未授權(quán)訪問漏洞,問題檢出率高達(dá)35%。

 

問題1:設(shè)備存在安全缺陷,廠家未及時(shí)更新固件

 

測(cè)試人員發(fā)現(xiàn)部分設(shè)備版本老舊未及時(shí)更新固件,存在安全缺陷,可以利用漏洞登錄。北京市網(wǎng)信辦供圖

 

根據(jù)發(fā)現(xiàn)的安全隱患,北京市網(wǎng)信辦梳理了三類主要問題:設(shè)備自身安全缺陷、用戶安全意識(shí)不足、監(jiān)控平臺(tái)管理不到位。

 

在遠(yuǎn)程技術(shù)檢測(cè)中,測(cè)試人員發(fā)現(xiàn)某網(wǎng)絡(luò)攝像頭設(shè)備由于未及時(shí)更新固件,設(shè)備版本老舊,存在未授權(quán)訪問漏洞。測(cè)試人員可以通過漏洞利用對(duì)攝像頭配置文件進(jìn)行解碼,進(jìn)一步獲取賬號(hào)和密碼信息,登錄查看攝像頭實(shí)時(shí)畫面,實(shí)現(xiàn)對(duì)攝像頭的遠(yuǎn)程控制。

 

北京市網(wǎng)信辦技術(shù)人員表示,攝像頭廠商應(yīng)該及時(shí)發(fā)現(xiàn)設(shè)備安全缺陷并推送固件更新。也有部分用戶收到推送后沒有及時(shí)更新,技術(shù)人員建議,廠商在推送時(shí)可在醒目位置提醒用戶存在的風(fēng)險(xiǎn),讓用戶了解更新固件的必要性。

 

問題2:用戶安全意識(shí)不足,還在使用默認(rèn)用戶名、密碼

 

測(cè)試人員發(fā)現(xiàn)部分用戶開啟RTSP協(xié)議時(shí)未設(shè)置身份驗(yàn)證、仍使用出廠默認(rèn)口令,存在安全隱患。北京市網(wǎng)信辦供圖

 

通過對(duì)某家庭用戶的網(wǎng)絡(luò)攝像頭遠(yuǎn)程檢測(cè),測(cè)試人員發(fā)現(xiàn)用戶開啟了RTSP協(xié)議,但未設(shè)置身份驗(yàn)證措施。沒有這層保護(hù),測(cè)試人員可直接通過視頻工具連接訪問攝像頭,獲取家庭實(shí)時(shí)監(jiān)控圖像。測(cè)試人員還發(fā)現(xiàn),一部分老款設(shè)備仍在使用出廠默認(rèn)口令,用戶名、密碼防護(hù)能力非常弱,攻擊者可使用默認(rèn)口令登錄,查看攝像頭實(shí)時(shí)畫面并遠(yuǎn)程控制。

 

北京市網(wǎng)信辦技術(shù)人員解釋,RTSP是網(wǎng)絡(luò)攝像頭普遍支持的基本通信協(xié)議,常用于圖像數(shù)據(jù)傳輸,開啟該協(xié)議后可將實(shí)時(shí)視頻流傳輸?shù)奖O(jiān)控中心或客戶端,因此身份驗(yàn)證非常必要。技術(shù)人員建議,攝像頭廠商可以要求用戶在設(shè)置身份驗(yàn)證后,方可開啟RTSP協(xié)議。

 

技術(shù)人員告訴記者,當(dāng)前隨著管理部門的督促力度加大和廠商的安全意識(shí)提升,市場(chǎng)上銷售的網(wǎng)絡(luò)攝像頭大多需要先設(shè)置強(qiáng)口令方能使用。對(duì)于還在使用默認(rèn)用戶名、密碼的老款設(shè)備,他建議用戶盡快更改。

 

問題3:監(jiān)控平臺(tái)權(quán)限管理不到位,可直接控制學(xué)校全部攝像頭

 

測(cè)試人員發(fā)現(xiàn)有學(xué)校監(jiān)控系統(tǒng)綜合管理平臺(tái)存在未授權(quán)訪問漏洞,登錄后可控制學(xué)校全部攝像頭。北京市網(wǎng)信辦供圖

 

測(cè)試人員發(fā)現(xiàn),某學(xué)校監(jiān)控系統(tǒng)綜合管理平臺(tái)存在未授權(quán)訪問漏洞,通過漏洞可獲取平臺(tái)用戶名、密碼,登錄管理平臺(tái)獲取管理員權(quán)限,控制平臺(tái)內(nèi)45個(gè)用戶共281個(gè)攝像頭,可任意更改平臺(tái)相關(guān)配置,獲取所有攝像頭監(jiān)控圖像。

 

北京市網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)處孟翔告訴記者,上述攝像頭可以查看宿舍、后廚、餐廳甚至是校領(lǐng)導(dǎo)辦公室。綜合視頻監(jiān)控管理平臺(tái)在學(xué)校、銀行、企業(yè)使用較多,往往同時(shí)連接管理大量網(wǎng)絡(luò)攝像頭設(shè)備。通過未授權(quán)訪問漏洞,攻擊者不僅能查看實(shí)時(shí)監(jiān)控,還可利用管理員權(quán)限,更大程度上控制攝像頭,埋下較大安全隱患。

 

“整體來看,網(wǎng)絡(luò)攝像頭安全形勢(shì)逐漸向好,但未授權(quán)訪問、默認(rèn)口令、弱口令等安全風(fēng)險(xiǎn)仍不在少數(shù),且大多數(shù)分布于版本老舊的設(shè)備或系統(tǒng)內(nèi),存在隱私泄露風(fēng)險(xiǎn)?!泵舷杞榻B。

 

網(wǎng)絡(luò)安全公司BitSight此前發(fā)表的研究報(bào)告顯示,全球有超過4萬臺(tái)聯(lián)網(wǎng)監(jiān)控?cái)z像頭在未設(shè)密碼的情況下向互聯(lián)網(wǎng)公開傳輸實(shí)時(shí)畫面,極大暴露了家庭與辦公隱私,成為攻擊者眼中的“偷窺利器”。研究人員稱,地下論壇已有大量黑客設(shè)法搜集這些攝像頭IP信息,并將其打包出售。

 

針對(duì)發(fā)現(xiàn)的問題,北京市網(wǎng)信辦指出,網(wǎng)絡(luò)攝像頭廠商應(yīng)對(duì)密碼強(qiáng)度做明確要求,強(qiáng)化端到端加密傳輸;明確告知用戶數(shù)據(jù)存儲(chǔ)位置及用途,避免過度收集;?建立完善的漏洞管理體系和固件更新推送渠道,及時(shí)推送并提醒用戶更新升級(jí)。

 

同時(shí),北京市網(wǎng)信辦提醒用戶加強(qiáng)個(gè)人隱私保護(hù)意識(shí),通過正規(guī)渠道購買網(wǎng)絡(luò)攝像頭,避免購買“三無”產(chǎn)品;注意攝像頭安裝位置,不使用時(shí)可遮擋鏡頭或斷電;不隨意共享設(shè)備權(quán)限,優(yōu)先選擇本地存儲(chǔ)模式;加強(qiáng)密碼管理,避免使用默認(rèn)口令或弱口令。

 

新京報(bào)記者 行海洋

編輯 張樹婧 校對(duì) 李立軍