網(wǎng)絡攝像頭近些年被廣泛應用于家庭看護、安全監(jiān)控、遠程協(xié)作等場景。由于網(wǎng)絡攝像頭需依托互聯(lián)網(wǎng)實現(xiàn)實時監(jiān)控、云端存儲等功能,如果安全防護不足,可能成為不法分子攻擊目標。

 

近期,北京市互聯(lián)網(wǎng)信息辦公室聚焦網(wǎng)絡攝像頭隱私泄露風險,開展了專項遠程技術檢測,僅未授權訪問漏洞類問題就發(fā)現(xiàn)200余個,無需身份驗證就可以獲取攝像頭控制權限,查看實時監(jiān)控畫面。檢測中還發(fā)現(xiàn),集成大量攝像頭設備的管理平臺問題尤為突出,經(jīng)對某監(jiān)控系統(tǒng)綜合管理平臺開展檢測,該平臺全國共625個互聯(lián)網(wǎng)資產(chǎn)中,有219個存在未授權訪問漏洞,問題檢出率高達35%。

 

問題1:設備存在安全缺陷,廠家未及時更新固件

 

測試人員發(fā)現(xiàn)部分設備版本老舊未及時更新固件,存在安全缺陷,可以利用漏洞登錄。北京市網(wǎng)信辦供圖

 

根據(jù)發(fā)現(xiàn)的安全隱患,北京市網(wǎng)信辦梳理了三類主要問題:設備自身安全缺陷、用戶安全意識不足、監(jiān)控平臺管理不到位。

 

在遠程技術檢測中,測試人員發(fā)現(xiàn)某網(wǎng)絡攝像頭設備由于未及時更新固件,設備版本老舊,存在未授權訪問漏洞。測試人員可以通過漏洞利用對攝像頭配置文件進行解碼,進一步獲取賬號和密碼信息,登錄查看攝像頭實時畫面,實現(xiàn)對攝像頭的遠程控制。

 

北京市網(wǎng)信辦技術人員表示,攝像頭廠商應該及時發(fā)現(xiàn)設備安全缺陷并推送固件更新。也有部分用戶收到推送后沒有及時更新,技術人員建議,廠商在推送時可在醒目位置提醒用戶存在的風險,讓用戶了解更新固件的必要性。

 

問題2:用戶安全意識不足,還在使用默認用戶名、密碼

 

測試人員發(fā)現(xiàn)部分用戶開啟RTSP協(xié)議時未設置身份驗證、仍使用出廠默認口令,存在安全隱患。北京市網(wǎng)信辦供圖

 

通過對某家庭用戶的網(wǎng)絡攝像頭遠程檢測,測試人員發(fā)現(xiàn)用戶開啟了RTSP協(xié)議,但未設置身份驗證措施。沒有這層保護,測試人員可直接通過視頻工具連接訪問攝像頭,獲取家庭實時監(jiān)控圖像。測試人員還發(fā)現(xiàn),一部分老款設備仍在使用出廠默認口令,用戶名、密碼防護能力非常弱,攻擊者可使用默認口令登錄,查看攝像頭實時畫面并遠程控制。

 

北京市網(wǎng)信辦技術人員解釋,RTSP是網(wǎng)絡攝像頭普遍支持的基本通信協(xié)議,常用于圖像數(shù)據(jù)傳輸,開啟該協(xié)議后可將實時視頻流傳輸?shù)奖O(jiān)控中心或客戶端,因此身份驗證非常必要。技術人員建議,攝像頭廠商可以要求用戶在設置身份驗證后,方可開啟RTSP協(xié)議。

 

技術人員告訴記者,當前隨著管理部門的督促力度加大和廠商的安全意識提升,市場上銷售的網(wǎng)絡攝像頭大多需要先設置強口令方能使用。對于還在使用默認用戶名、密碼的老款設備,他建議用戶盡快更改。

 

問題3:監(jiān)控平臺權限管理不到位,可直接控制學校全部攝像頭

 

測試人員發(fā)現(xiàn)有學校監(jiān)控系統(tǒng)綜合管理平臺存在未授權訪問漏洞,登錄后可控制學校全部攝像頭。北京市網(wǎng)信辦供圖

 

測試人員發(fā)現(xiàn),某學校監(jiān)控系統(tǒng)綜合管理平臺存在未授權訪問漏洞,通過漏洞可獲取平臺用戶名、密碼,登錄管理平臺獲取管理員權限,控制平臺內45個用戶共281個攝像頭,可任意更改平臺相關配置,獲取所有攝像頭監(jiān)控圖像。

 

北京市網(wǎng)信辦網(wǎng)絡安全協(xié)調處孟翔告訴記者,上述攝像頭可以查看宿舍、后廚、餐廳甚至是校領導辦公室。綜合視頻監(jiān)控管理平臺在學校、銀行、企業(yè)使用較多,往往同時連接管理大量網(wǎng)絡攝像頭設備。通過未授權訪問漏洞,攻擊者不僅能查看實時監(jiān)控,還可利用管理員權限,更大程度上控制攝像頭,埋下較大安全隱患。

 

“整體來看,網(wǎng)絡攝像頭安全形勢逐漸向好,但未授權訪問、默認口令、弱口令等安全風險仍不在少數(shù),且大多數(shù)分布于版本老舊的設備或系統(tǒng)內,存在隱私泄露風險?!泵舷杞榻B。

 

網(wǎng)絡安全公司BitSight此前發(fā)表的研究報告顯示,全球有超過4萬臺聯(lián)網(wǎng)監(jiān)控攝像頭在未設密碼的情況下向互聯(lián)網(wǎng)公開傳輸實時畫面,極大暴露了家庭與辦公隱私,成為攻擊者眼中的“偷窺利器”。研究人員稱,地下論壇已有大量黑客設法搜集這些攝像頭IP信息,并將其打包出售。

 

針對發(fā)現(xiàn)的問題,北京市網(wǎng)信辦指出,網(wǎng)絡攝像頭廠商應對密碼強度做明確要求,強化端到端加密傳輸;明確告知用戶數(shù)據(jù)存儲位置及用途,避免過度收集;?建立完善的漏洞管理體系和固件更新推送渠道,及時推送并提醒用戶更新升級。

 

同時,北京市網(wǎng)信辦提醒用戶加強個人隱私保護意識,通過正規(guī)渠道購買網(wǎng)絡攝像頭,避免購買“三無”產(chǎn)品;注意攝像頭安裝位置,不使用時可遮擋鏡頭或斷電;不隨意共享設備權限,優(yōu)先選擇本地存儲模式;加強密碼管理,避免使用默認口令或弱口令。

 

新京報記者 行海洋

編輯 張樹婧 校對 李立軍