中国首例网上传播家庭摄像头破解软件案:有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,有大量人员非法购买后利用摄像头进行偷窥,严重侵犯了公民个人隐私。
大量家庭摄像头存在的安全问题,只需要通过特定的扫描软件,就能够攻破摄像头的IP 地址,然后将被破解的 IP 地址输入播放软件,就可以实现偷窥。国家互联网应急中心高级工程师高胜称,这些软件主要是依靠扫描器,用一些弱口令密码,做大范围的扫描。随后,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测,仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。
为何这些家庭摄像头破解这么容易?
造成摄像头的信息安全风险的原因有很多,但是多存在于数据传输、弱密码口令、操作系统/固件更新、敏感信息的本地存储、身份鉴别、云平台等环节。
1. 数据传输
根据质检总局的调查,发现28 批次样品数据传输未加密。如果在数据传输的过程中进行加密,即使黑客拦截相应的信息也只能看到代码,看不到实际摄像头拍下来的影像。当然,除了对传输过程进行加密,对录像的本地存储数据进行加密也很重要。
2. 弱口令 / 密码
除此之外,家庭摄像头破解还因为存在弱口令,或者限制用户密码复杂度的问题。有些产品生产出来以后,会设置非常简单密码,很容易被黑客破解。如果摄像头出厂前设定大小写、以及数字和字幕结合的密码设定,会安全很多。
3. 操作系统 / 固件更新
还有部分摄像头在操作系统更新有问题:未提供固件更新修复功能或者固件更新方式不安全。因此,厂商需要完整 OTA 在线升级方案,及时修补安全漏洞。
4. 敏感信息的本地存储
摄像头样品的密码等敏感数据在本地存储时未采取加密保护措施。小厂家将本地存储认定为用户自己的行为——你已经存储到本地,用户自己保存就好,不会采取任何安全防护措施。最好的做法还是本地以及云端都采用加密存储的方式。
5. 身份鉴别
另外,摄像头在身份鉴别方面未提供登录失败处理功能。有很多厂商在产品生产后没有对反复登录频次进行限制,以至很多黑客可以反复尝试密码,用用户信息或者其他密码尝试一直到攻破摄像机。
6. 云平台
就连摄像头后端信息系统也存在越权漏洞,同一平台内可以查看任意用户摄像。由于很多厂商会跟一些性价比较高的第三方云服务提供商合作。一旦云服务商没有处理好安全问题,被黑客攻破后,所有跟他合作的摄像头厂商受到影响,造成用户信息泄露。
从家庭摄像头破解软件案引发思考——我们的安全的做应该法是:对每一个用户、每一台设备都设立独立密钥。