开云下载安全

新闻中心

摄像头如何被他人控制 设备极易被黑客批量扫描利用

时间: 2024-07-06作者: 新闻中心

  本身是只有自己能控制和查看的摄像头,为何会被他人控制?其一大原因是其用户名、密码太简单,也就是“弱口令”。一些用户在安装摄像头时,并不会修改密码,或修改为更简单的密码,如连续的数字或字母。在网上购买的扫描器,正是利用了这一漏洞,大范围扫描各种智能设备,如果恰好可以用原始密码或简单密码攻破,就会被记录。

  另外,猎豹移动安全有经验的人指出:由于家庭摄像头暴露外网管理页面,设备存在弱口令或其他漏洞,非常容易被黑客大批量扫描利用。除此之外,以下两点也是隐私视频被泄露的主要途径:1、摄像头厂商的管理后台存在漏洞或缺陷接口,被黑客通过SQL注入或者撞库等方式窃取用户管理密码,甚至有可能被利用管理后台监控全用户。2、摄像头开启云端监控功能。一旦云服务器厂商出现漏洞或云服务授权KEY泄漏,将导致全用户隐私视频的大范围泄漏;用户隐私视频上传云端的整一个完整的过程缺乏有效的监管,在监控视频传输、存储的各环节都存在泄漏风险。

  日前,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测。结果仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。

  18日,质检总局也对40批次的智能摄像头进行质量安全风险监测,根据结果得出,32批次样品存在质量安全风险隐患。也就是说,八成的智能摄像头存在安全风险。根据结果得出,32批次样品存在质量安全隐患。

  其中,28批次样品数据传输未加密;20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;18批次样品在身份鉴别方面,未提供登录失败处理功能;16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护的方法;10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;10批次样品后端信息系统存在越权漏洞,同一平台内能查看任意用户摄像头的视频;8批次样品未对恶意代码和特殊字符进行相对有效过滤;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。以上问题可能会引起用户监控视频被泄露,或智能摄像头被恶意控制等危害。

  去年5月,360安全实验室也曾对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户个人信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷、弱口令等安全设计缺陷。

  不安全的智能摄像头除了会带来用户隐私被侵犯问题,有可能酿成大祸。去年10月,美国爆发大规模网络瘫痪事故,多个城市的主要网站被攻击,包括推特、亚马逊、Paypal等在内的大量互联网知名网站数小时无法正常访问。该事故就被认为是智能摄像头、路由器、录像机等设备的密码问题所致。

  360攻防实验室负责人刘健皓介绍,该病毒影响如此大的重要的原因是因为有如此之多的网络摄像头、数字录像机等设备产出时附带的默认密码从未更改过,一次简单的互联网扫描就能识别出这些密码。这样,手里掌握大量智能硬件漏洞的组织,就可以轻易地利用这样的程序,调动所有有漏洞的硬件发起进攻。

  当然,智能硬件厂商在安全方面的表现也不尽如人意。刘健皓称,相当数量的智能硬件携带非常多的漏洞,这些漏洞往往是低级的,甚至由于很多硬件厂商选用相同的底层方案,这些漏洞还是通用的,一旦被不法分子利用,其后果不堪设想,这次美国断网事件就是一个很好的例证。

  普通消费者应当如何明智的选择智能摄像头呢?质检总局提示众多购买的人,在选购和使用智能摄像头产品时,要注意以下几点:

  一是选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关这类的产品质量信息。

  二是增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户个人信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户个人信息的要求,根据自我真实的情况和意愿作出购买和选择决定。

  三是使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。

  四是及时来更新智能摄像头操作系统版本和相关的移动应用,发现异常应立马停止使用,并向制造商反馈,等待厂商修复。


最新资讯

0755-29555842

联系电话:18924583791

开云下载安全传真:0755-29555842

开云下载安全邮箱:sales@dxymotors.com

开云下载安全地址:广东省深圳市龙华新区大浪街道部九窝龙军工业区A18栋二层