網(wǎng)絡(luò)攝像頭近些年被廣泛應(yīng)用于家庭看護(hù)�、安全監(jiān)控、遠(yuǎn)程協(xié)作等場景����。由于網(wǎng)絡(luò)攝像頭需依托互聯(lián)網(wǎng)實(shí)現(xiàn)實(shí)時監(jiān)控、云端存儲等功能���,如果安全防護(hù)不足����,可能成為不法分子攻擊目標(biāo)。
問題1:設(shè)備存在安全缺陷��,廠家未及時更新固件
測試人員發(fā)現(xiàn)部分設(shè)備版本老舊未及時更新固件�,存在安全缺陷,可以利用漏洞登錄�����。
在遠(yuǎn)程技術(shù)檢測中��,測試人員發(fā)現(xiàn)某網(wǎng)絡(luò)攝像頭設(shè)備由于未及時更新固件�,設(shè)備版本老舊,存在未授權(quán)訪問漏洞��。測試人員可以通過漏洞利用對攝像頭配置文件進(jìn)行解碼�,進(jìn)一步獲取賬號和密碼信息,登錄查看攝像頭實(shí)時畫面��,實(shí)現(xiàn)對攝像頭的遠(yuǎn)程控制���。
技術(shù)人員表示�,攝像頭廠商應(yīng)該及時發(fā)現(xiàn)設(shè)備安全缺陷并推送固件更新����。也有部分用戶收到推送后沒有及時更新,技術(shù)人員建議����,廠商在推送時可在醒目位置提醒用戶存在的風(fēng)險,讓用戶了解更新固件的必要性����。
問題2:用戶安全意識不足,還在使用默認(rèn)用戶名�、密碼 
測試人員發(fā)現(xiàn)部分用戶開啟RTSP協(xié)議時未設(shè)置身份驗(yàn)證、仍使用出廠默認(rèn)口令����,存在安全隱患。
通過對某家庭用戶的網(wǎng)絡(luò)攝像頭遠(yuǎn)程檢測��,測試人員發(fā)現(xiàn)用戶開啟了RTSP協(xié)議��,但未設(shè)置身份驗(yàn)證措施���。沒有這層保護(hù)��,測試人員可直接通過視頻工具連接訪問攝像頭��,獲取家庭實(shí)時監(jiān)控圖像���。測試人員還發(fā)現(xiàn)�����,一部分老款設(shè)備仍在使用出廠默認(rèn)口令�����,用戶名�����、密碼防護(hù)能力非常弱�����,攻擊者可使用默認(rèn)口令登錄�,查看攝像頭實(shí)時畫面并遠(yuǎn)程控制���。
技術(shù)人員解釋����,RTSP是網(wǎng)絡(luò)攝像頭普遍支持的基本通信協(xié)議���,常用于圖像數(shù)據(jù)傳輸��,開啟該協(xié)議后可將實(shí)時視頻流傳輸?shù)奖O(jiān)控中心或客戶端����,因此身份驗(yàn)證非常必要���。技術(shù)人員建議��,攝像頭廠商可以要求用戶在設(shè)置身份驗(yàn)證后���,方可開啟RTSP協(xié)議。
技術(shù)人員告訴記者�,當(dāng)前隨著管理部門的督促力度加大和廠商的安全意識提升,市場上銷售的網(wǎng)絡(luò)攝像頭大多需要先設(shè)置強(qiáng)口令方能使用���。對于還在使用默認(rèn)用戶名����、密碼的老款設(shè)備���,他建議用戶盡快更改�。
問題3:監(jiān)控平臺權(quán)限管理不到位,可直接控制學(xué)校全部攝像頭 
測試人員發(fā)現(xiàn)有學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞�,登錄后可控制學(xué)校全部攝像頭。
測試人員發(fā)現(xiàn)�����,某學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞���,通過漏洞可獲取平臺用戶名�����、密碼�����,登錄管理平臺獲取管理員權(quán)限�,控制平臺內(nèi)45個用戶共281個攝像頭�,可任意更改平臺相關(guān)配置,獲取所有攝像頭監(jiān)控圖像�����。
上述攝像頭可以查看宿舍、后廚����、餐廳甚至是校領(lǐng)導(dǎo)辦公室。綜合視頻監(jiān)控管理平臺在學(xué)校����、銀行、企業(yè)使用較多����,往往同時連接管理大量網(wǎng)絡(luò)攝像頭設(shè)備��。通過未授權(quán)訪問漏洞�����,攻擊者不僅能查看實(shí)時監(jiān)控����,還可利用管理員權(quán)限,更大程度上控制攝像頭�����,埋下較大安全隱患。
安全提示
網(wǎng)絡(luò)攝像頭廠商應(yīng)對密碼強(qiáng)度做明確要求���,強(qiáng)化端到端加密傳輸����;
明確告知用戶數(shù)據(jù)存儲位置及用途��,避免過度收集���;
建立完善的漏洞管理體系和固件更新推送渠道��,及時推送并提醒用戶更新升級�����。
用戶應(yīng)加強(qiáng)個人隱私保護(hù)意識�����,通過正規(guī)渠道購買網(wǎng)絡(luò)攝像頭�,避免購買“三無”產(chǎn)品�;
注意攝像頭安裝位置,不使用時可遮擋鏡頭或斷電�;
不隨意共享設(shè)備權(quán)限��,優(yōu)先選擇本地存儲模式�;
加強(qiáng)密碼管理����,避免使用默認(rèn)口令或弱口令。
