央视的这条新闻,把物联网安全又推上了风口浪尖!

作者:iot101君

物联网智库 原创

转载请注明来源和出处

------   【导读】   ------

我就想问问,为什么受伤的总是智能摄像头?

现如今,下载一个与智能摄像头相关的应用程序,就能随时用手机查看家里的情况:老人是否出现意外,保姆带娃是否尽责,家庭财产是否安全。这是物联网技术带给我们生活上的便利,听上去真是一部和谐美满的“家庭喜剧”?可是如果你知道除了自己以外,还有成百上千双陌生的眼睛在盯着你家,“喜剧”可就秒变“恐怖片”了!

昨日,央视新闻客户端曝光的一则消息引起了人们的广泛关注:目前智能家庭摄像头泄漏隐私已经成为火热的生意,只要将被破解的IP地址输入播放软件,就可以实现偷窥,不被觉察。

记者同志以大无畏的“卧底精神”深入敌方,详细了解了这一过程。从实际体验的情况来看,只需花费188元(没错,不要988,不要688,只要188),就能在一些QQ群内轻松买到大量IP账号,而这些IP地址配合被破解的登录名密码以及相应软件后,就能轻松入侵基本上所有的家庭智能摄像头。

图:记者体验实况

那么智能摄像头的IP地址是怎么落到别人手中的?登录的密码怎么也会一同泄露呢?国家互联网应急中心高级工程师高胜表示,用一些弱口令密码,做大范围的扫描。弱口令就是一些user或者admin。

更夸张的是,除了家庭智能摄像头外,城市管理、交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的隐患。

智能摄像头和我们的“命”(家庭人身安全)和“钱”(家庭财产安全)息息相关,难怪消息一出,人心惶惶,物联网设备安全问题被又一次推上风口浪尖。

其实,这远不是摄像头第一次出事了。说到智能摄像头造成的安全事件,最有名的就要属去年十月Mirai 病毒使得大半个美国互联网陷入瘫痪那次:黑客通过互联网控制了大量物联网设备,然后操纵这些「肉鸡」攻击了美国的多个知名网站,包括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。

图:大半个美国互联网陷入瘫痪

事故原因调查表明,这些沦为“肉鸡”的物联网设备中有大量的 DVR(数字录像机,一般用来记录监控录像,用户可联网查看)和网络摄像头(通过 Wifi 来联网,用户可以使用 App 进行实时查看的摄像头)。而据安全公司的数据显示,参与本次 DDoS 攻击的设备中,主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用,在美国大量销售。

好吧,不但是摄像头的锅,还是中国厂商摄像头的锅!

不过,今天的文章可不谈具体怎么执行入侵这一操作,毕竟iot101君这种大好青年还不想年纪轻轻就进局子里蹲着。我们这次来说说,为什么在近年来频发的物联网安全事故中,受伤的总是摄像头?


第一,视频将很快占据绝大多数移动数据流量,智能摄像头成发展大势

从需求侧来说:智慧城市的建设对视频数据的需求急剧增加。构建智慧城市需要城市中各处的摄像头记录一天内发生了什么——通过视频分析,既能帮助公安部门进行犯罪追踪,也能帮助交通领域分析各个路段的路况,以为司机和出行的人们提供更便捷的信息。在家居领域,由于人们对个人财产和家人安全的保护意识逐步提升,智能摄像头、可视门铃等产品市场火热。

2015 年5 月,发改委发布了由九部委联合出台《关于加强公共安全视频监控建设联网应用工作的若干意见》,首次量化了2020 年视频监控布控的总体目标:到2020 年重点公共区域视频监控覆盖率达到100%,另外,要求重点行业、领域涉及公共区域的视频图像资源联网率达到100%。

图:《关于加强公共安全视频监控建设联网应用工作的若干意见》

从供给侧来说,摄像头从标清到高清的跨越,实现了视频监控从“看得见”到“看得清”的转变。高清摄像头不仅让人类看得更清楚,也能让机器“看”得更清楚,从而让机器更容易从中“读懂”画面的内容,更准确地提取人们关注的有效信息。网络化摄像头使得实时智能视频分析成为现实,在智能摄像头发展大潮下代表摄像头未来的发展趋势。

智能摄像头既面向海量消费者,又背靠智慧城市建设过程中的大量企业级用户,和一般的智能硬件相比,出货量比较大。盘子大了,市场大了,又和人们的生活、财产、安全息息相关,不法之徒才会觉得有机可乘。

第二,大量市售智能摄像头存在安全隐患

正所谓苍蝇不盯无缝的蛋,何况你给人家不法分子留了那么大一条缝儿~

360去年发布了一份《国内智能家庭摄像头安全状况评估报告》,在对国内近百个品牌的智能摄像头进行测试后发现,有近8成产品存在安全缺陷。

  • 传输未加密:大部分摄像头采用HTTPS协议进行传输加密,但由于API接口配置不当,导致加密容易被破解。另外有一些摄像头使用RTSP协议传输,但是协议内容是明文传输的,这样只要把地址复制到一个支持RTSP协议的播放器内,就可以获得当前智能摄像头的界面。

  • 未存在人机识别机制:在注册、找回密码等流程都需要人机识别机制来进行安全验证,但许多摄像头没有人机识别机制,或者人机识别机制存在于本地,导致用户密码可被强制修改。

  • 多数智能设备可横向控制:在控制一个摄像头之后,通过逆向分析、网络活动分析等手段判断出控制设备的标识和指令,如果没有防重放参数就可以直播使用,然后根据一个或多个的设备控制标识预测出其它设备控制标识,从而横向控制大量智能设备。

  • 客户端没有安全加固:大量摄像头app没有进行混淆、加固,可以被轻易的逆向分析出源代码。

  • 代码逻辑设备有缺陷:一些代码设计缺陷也可能造成设备被控制,比如验证码生成,一些开发者为了节省资源,将生成机制放在本地,有的甚至可以直接看到验证码,有的则可以暴力破解。

  • 缺少远程更新机制:设备有漏洞就需要更新来补上,但很多摄像头都没有远程固件更新机制等等

这些问题可能导致用户监控视频被泄露,或智能摄像头被恶意控制等种种危害。

同样是在6月18日,国家质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测:共从市场上采集样品40批次,依据国标,对操作系统的更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用安全有效加密、本地存储数据保护等项目进行了检测。结果表明:32批次样品存在质量安全隐患。

其中,20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度,这一点也是大部分物联网设备都存在的最典型的安全隐患。对此,Flashpoint 安全公司的专家曾经表示:“如果说用户可以轻松改密码就好了,但是模组中的密码被写入到了固件中,还没有工具可以修改这个模组的密码。更可怕的是,用户根本不知道还有这么一个密码的存在。”

的确,如果你是一个向消费者市场发布此类产品的公司,你不能期待消费者拥有相关的安全知识,因此,安全问题需要从设计之初就开始考虑。


智能摄像头的安全问题可谓种类繁多,对厂商来说,需要从云端、硬件端和客户端三方面都做好安全设计;而对智能摄像头的用户来说,自我防范意识也很重要,具体来说应做到以下几点:

  

1.不要使用原始预设的或过于简单的用户名与密码,而且要定期进行更换;

2.摄像头不要正对卧室、浴室等隐私区域,并要经常检查摄像头的角度是否发生变化;

3.养成定期查杀病毒的好习惯。

4.及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。

往期热文(点击文章标题即可直接阅读):

相关文章推荐

凭什么看不起我们剖腹产?

母婴  2017-08-09 06:06