網(wǎng)絡(luò)攝像頭近些年被廣泛應(yīng)用于家庭看護(hù)、安全監(jiān)控���、遠(yuǎn)程協(xié)作等場景����。由于網(wǎng)絡(luò)攝像頭需依托互聯(lián)網(wǎng)實現(xiàn)實時監(jiān)控��、云端存儲等功能����,如果安全防護(hù)不足,可能成為不法分子攻擊目標(biāo)��。
問題1:設(shè)備存在安全缺陷�����,廠家未及時更新固件
測試人員發(fā)現(xiàn)部分設(shè)備版本老舊未及時更新固件����,存在安全缺陷,可以利用漏洞登錄�。
在遠(yuǎn)程技術(shù)檢測中,測試人員發(fā)現(xiàn)某網(wǎng)絡(luò)攝像頭設(shè)備由于未及時更新固件��,設(shè)備版本老舊�����,存在未授權(quán)訪問漏洞��。測試人員可以通過漏洞利用對攝像頭配置文件進(jìn)行解碼����,進(jìn)一步獲取賬號和密碼信息,登錄查看攝像頭實時畫面�,實現(xiàn)對攝像頭的遠(yuǎn)程控制。
技術(shù)人員表示���,攝像頭廠商應(yīng)該及時發(fā)現(xiàn)設(shè)備安全缺陷并推送固件更新��。也有部分用戶收到推送后沒有及時更新�,技術(shù)人員建議,廠商在推送時可在醒目位置提醒用戶存在的風(fēng)險�,讓用戶了解更新固件的必要性。
問題2:用戶安全意識不足����,還在使用默認(rèn)用戶名、密碼 
測試人員發(fā)現(xiàn)部分用戶開啟RTSP協(xié)議時未設(shè)置身份驗證�����、仍使用出廠默認(rèn)口令�,存在安全隱患。
通過對某家庭用戶的網(wǎng)絡(luò)攝像頭遠(yuǎn)程檢測��,測試人員發(fā)現(xiàn)用戶開啟了RTSP協(xié)議���,但未設(shè)置身份驗證措施�����。沒有這層保護(hù)�����,測試人員可直接通過視頻工具連接訪問攝像頭��,獲取家庭實時監(jiān)控圖像����。測試人員還發(fā)現(xiàn)���,一部分老款設(shè)備仍在使用出廠默認(rèn)口令���,用戶名、密碼防護(hù)能力非常弱����,攻擊者可使用默認(rèn)口令登錄,查看攝像頭實時畫面并遠(yuǎn)程控制�。
技術(shù)人員解釋,RTSP是網(wǎng)絡(luò)攝像頭普遍支持的基本通信協(xié)議����,常用于圖像數(shù)據(jù)傳輸,開啟該協(xié)議后可將實時視頻流傳輸?shù)奖O(jiān)控中心或客戶端��,因此身份驗證非常必要。技術(shù)人員建議���,攝像頭廠商可以要求用戶在設(shè)置身份驗證后����,方可開啟RTSP協(xié)議�。
技術(shù)人員告訴記者,當(dāng)前隨著管理部門的督促力度加大和廠商的安全意識提升�����,市場上銷售的網(wǎng)絡(luò)攝像頭大多需要先設(shè)置強(qiáng)口令方能使用�。對于還在使用默認(rèn)用戶名、密碼的老款設(shè)備����,他建議用戶盡快更改。
問題3:監(jiān)控平臺權(quán)限管理不到位�����,可直接控制學(xué)校全部攝像頭 
測試人員發(fā)現(xiàn)有學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞���,登錄后可控制學(xué)校全部攝像頭�����。
測試人員發(fā)現(xiàn)����,某學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞,通過漏洞可獲取平臺用戶名�����、密碼��,登錄管理平臺獲取管理員權(quán)限�����,控制平臺內(nèi)45個用戶共281個攝像頭���,可任意更改平臺相關(guān)配置,獲取所有攝像頭監(jiān)控圖像���。
上述攝像頭可以查看宿舍����、后廚、餐廳甚至是校領(lǐng)導(dǎo)辦公室�����。綜合視頻監(jiān)控管理平臺在學(xué)校�����、銀行����、企業(yè)使用較多,往往同時連接管理大量網(wǎng)絡(luò)攝像頭設(shè)備��。通過未授權(quán)訪問漏洞�,攻擊者不僅能查看實時監(jiān)控,還可利用管理員權(quán)限�,更大程度上控制攝像頭,埋下較大安全隱患�。
安全提示
網(wǎng)絡(luò)攝像頭廠商應(yīng)對密碼強(qiáng)度做明確要求,強(qiáng)化端到端加密傳輸���;
明確告知用戶數(shù)據(jù)存儲位置及用途���,避免過度收集��;
建立完善的漏洞管理體系和固件更新推送渠道�,及時推送并提醒用戶更新升級�����。
用戶應(yīng)加強(qiáng)個人隱私保護(hù)意識���,通過正規(guī)渠道購買網(wǎng)絡(luò)攝像頭�����,避免購買“三無”產(chǎn)品;
注意攝像頭安裝位置��,不使用時可遮擋鏡頭或斷電�;
不隨意共享設(shè)備權(quán)限,優(yōu)先選擇本地存儲模式�;
加強(qiáng)密碼管理,避免使用默認(rèn)口令或弱口令���。
