“对着卧室的摄像头IP地址10元一个,拍摄到激情画面的20元一个��?��!痹居美纯椿ぜ依锢先撕⒆踊蛴米鞣赖恋纳阆裢?�,竟然被不法分子用于“窥私”在网上公开叫卖���。
苹果新机的发布让世人感慨:刷脸时代已经到来��。无论是刷脸认证����,还是视频监控���,都离不开摄像头�����?��;チ贝阆裢坊拱踩?本期“好奇心”关注这个热点话题����。
实验时间:2017年9月13日
实验地点:西安四叶草信息技术有限公司
实验人员:CloverSec实验室安全研究员余俊峰、王明星�,华商报记者
实验顾问:四叶草公司CEO马坤
一�、相关新闻
卧室摄像头IP地址被公开叫卖
数千万摄像头存在被攻击风险
“对着卧室的摄像头IP地址10元一个,拍摄到激情画面的20元一个��?!痹居美纯椿ぜ依锢先撕⒆踊蛴米鞣赖恋纳阆裢罚谷槐徊环ǚ肿佑糜凇翱健痹谕瞎新簟?/p>
据新华社报道���,北京�、浙江等警方接连破获黑客非法入侵居民家用摄像头案件����。7月14日,北京警方破获一起网上传播家庭摄像头破解软件案�����,抓获涉案人员24名��。犯罪嫌疑人交代��,他们非法获取某品牌摄像头破解软件����,利用黑客手段破解网络摄像头IP,然后在QQ群中出售���。
据了解����,目前我国家用摄像头保有量为4000万至5000万个,其中一些存在被攻击风险����。在一些QQ群和百度贴吧,有人公然售卖破解摄像头软件���,分享他人家庭私密影像�。新华社记者在调查中发现���,只需几十元即可买到摄像头查看软件�����,销售者还承诺“包教会”��。
二���、实验验证
实验1:监控摄像头泄密 通过电脑可看到国外商超收银台
四叶草安全研究员余俊峰介绍,以前市民常见的是局域网摄像头�,这些摄像头一般用在酒店、单位�、小区等的楼宇和院落内外当做安防设备���,一般不连接外网���,所拍摄的视频一般记录在本地硬盘��。现在����,随着互联网技术的发展和物联网概念的宣传推广����,网络摄像头已进入不少市民的家庭。和局域网摄像头相比��,互联网摄像头更便于远程监控和随时随地查看�����。为研究互联网摄像头的安全性���,他注意过一款软件����。该软件可扫描指定IP地址段的网络摄像头和路由器�,而且会尝试破解用户名����、密码��。
他打开这个程序以前的扫描结果文件���,文件中有很多互联网摄像头IP地址�。每一个IP就对应着某处的一个摄像头����。华商报记者注意到����,这些IP地址的用户名,大多数是默认的“admin”��,密码则是初始密码居多���,有的干脆是空的����。
打开其中一个摄像头IP,输入破解出来的用户名和密码后���,摄像头的监控画面赫然出现在眼前?���;媸且豢檬鳎诜缰幸∫?��。做实验时是上午11时许���,但画面看起来却是凌晨5时许。从IP地址和时区来看����,应该是欧洲某国。打开另一个IP��,监控画面显示的是一个商店或超市���,摄像头似乎正对着收银台����。
从电脑显示界面来看�����,不仅可查看监控画面,还可以对摄像头进行后台设置�����。也就是说�����,网络攻击者通过设置�,完全有可能将该摄像头的控制权夺为己有。
实验总结:
互联网摄像头若一直使用默认用户名和弱口令����,就几乎等同于公共平台,无法?;ひ健S嗫》逅?���,尽管没有对家用室内互联网摄像头进行实验,其原理是一样的����。不少家庭���,路由器使用的是默认用户名和密码,所连接的互联网摄像头也是这样��,这就相当于大门都是敞开的�,泄密隐患极大��。
实验2:手机被植木马后 摄像头可能让坏人直接看到你
和安装在固定场所的摄像头相比����,手机摄像头会不会也存在泄密隐私的风险?
四叶草安全研究员王明星的回答是:有可能。他也用实验来证明了这一点����。
他先在一部实验用手机上安装了一个伪装为正常应用程序的木马工具,然后开始在自己的电脑上进行操作�����。
电脑端打开的正是操控手机木马的后台程序��。他输入命令�����,让实验手机调用摄像头。很快��,手机上出现了权限调用提醒:“×××试图使用摄像头”��,下面有“允许”和“拒绝”两个选项�����。选择“允许”后��,很快电脑上便出现了室内场景����。
这是不是手机摄像头“看”到的?
华商报记者将手机拿到窗口,让摄像头对着窗外�,楼下马路上车辆穿梭和行人过马路的场景,便出现在电脑屏幕上����。
余俊峰说,如果看到手机提醒有不熟悉的程序调用摄像头�����,所有人可能都不会选择“允许”。但木马程序调取摄像头使用权限时弹出提醒窗口�����,并不是所有手机系统都会支持的���。安卓6.0以上的手机可能会有这样的提醒��,6.0版本以下的绝大部分手机不会弹出这样的提醒�����。所以当手机被植入木马,有的手机会看起来和平时没什么两样��,但机主并不知道:这时正有人通过互联网在看着你!
这样的情景让人想一下就不寒而栗���。
接下来���,王明星又输入了其他命令,手机都忠实地执行着攻击者的意图�。站在旁边的记者感觉,这时的手机完全就是“双面间谍”��,表面上给机主服务,其实同时也在“忠实”地执行着网络攻击者的命令�。
实验总结:
一旦中了木马病毒,手机摄像头完全可能“背叛”主人�����,出卖主人隐私�。所以,平时使用手机一定要注意安全防护���,发现异常要及时处理�����。那么�,什么样的情况表明手机可能被植入了木马?余俊峰提醒�,当手机运行突然变慢,或没人操作手机某个程序却突然打开��,或者应用程序列表中出现陌生程序名称��,包括看起来似乎很像正常程序的名称但同时出现两个����,就极有可能是中了木马病毒���,一定要尽快处理。
三����、专家提醒:
局域网摄像头也可能被利用 安全问题不容忽视
2016年5月,360攻防实验室曾发布过《国内智能家庭摄像头安全状况评估报告》���,直指家用摄像头9大类安全风险:用户隐私泄露����、未加密数据传输���、无人机识别机制�����、多数智能设备可横向控制、未对客户端进行安全加固��、代码逻辑设计缺陷�、存在硬件调试接口、未对启动程序进行?��;ず兔挥性冻谈禄频?。据介绍,安全风险相对突出的是一些与外网相连的摄像头���。
那么和网络摄像头相比����,局域网摄像头是不是更安全?
对此����,西安四叶草信息技术有限公司CEO马坤特别提醒,网络摄像头有安全隐患��,但通过升级可以及时从程序上进行封堵�。局域网摄像头要升级系统,相对来说就比较困难��。现在公共基础设施包括交通�、金融领域等方面,也常常安装使用摄像头�,这些摄像头对着的大都是敏感或关键部位。所以�,局域网摄像头一旦被黑客从内部攻击(比如通过U盘),这些局域网就会成为僵尸网络而被黑客利用�����。病毒和木马在找到出口后,很快就会将信息披露到外网��,从而造成大面积的网络安全事件���,安全问题同样不容忽视�。
至于手机摄像头���,由于和人更接近��,一旦被黑客攻击利用���,隐私或重要信息泄露的情况可能会更严重。所以在互联网时代��,作为单位����,一定要重视网络安全问题��,平时保持和安全机构的联系;作为个人��,也要及时关注网络安全动态和信息。
不要用默认用户名和弱密码 摄像头不要对着床
默认用户名和弱密码有多么不安全���,实验已经验证��。余俊峰提醒����,网络安全都是相对的�,没有什么可以保证绝对安全。所以�,使用网络摄像头不要对着容易暴露隐私的位置,比如不要对着床和卫生间等��,这些应该成为大家的常识和习惯��。
