當(dāng)心！攝像頭漏洞正在嚴(yán)重威脅人們的安全

攝像頭漏洞正在嚴(yán)重威脅人們的安全。近日，北京華順信安科技有限公司與白帽匯安全研究院聯(lián)合發(fā)布《網(wǎng)絡(luò)空間測(cè)繪系列——2018年攝像頭安全報(bào)告》(以下簡(jiǎn)稱報(bào)告)。該報(bào)告顯示，攝像頭對(duì)公網(wǎng)開放的安全問題已是全世界共同面臨的一大挑戰(zhàn)。

當(dāng)前，攝像頭的應(yīng)用已經(jīng)遍及城市交通、企業(yè)內(nèi)部、醫(yī)院、銀行、家庭等生產(chǎn)生活的各個(gè)場(chǎng)景。隨著攝像頭使用量不斷增加和應(yīng)用場(chǎng)景不斷拓展，攝像頭安全對(duì)于生產(chǎn)、生活的重要性日趨顯著。但值得注意的是，攝像頭應(yīng)用已形成了一條集黑客破解、買賣、偷窺于一體的視頻攝像頭網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈。

北京華順信安科技有限公司CEO趙武表示，攝像頭危害較大的原因，一方面是設(shè)備數(shù)量眾多，安全性被使用者忽視。廉價(jià)的攝像頭、監(jiān)視器等物聯(lián)網(wǎng)應(yīng)用產(chǎn)品大量出現(xiàn)，但這些產(chǎn)品往往沒有采取任何安全措施，黑客能夠輕易地控制它們。另一方面，隨著物聯(lián)網(wǎng)設(shè)備的增多，硬件難以更新，未來僵尸網(wǎng)絡(luò)的規(guī)模會(huì)越來越大，攻擊能力越來越強(qiáng)。

近兩年，攝像頭嚴(yán)重漏洞事件頻發(fā)。2018年6月份，Axis攝像頭被ADOO安全公司發(fā)現(xiàn)存在7個(gè)安全漏洞，攻擊者可以利用這些漏洞以root權(quán)限執(zhí)行任意命令。8月份，Swann攝像頭被發(fā)現(xiàn)存在訪問控制缺陷，該漏洞可以將一個(gè)攝像頭的視頻流切換到另一個(gè)攝像頭上，攻擊者可以利用該漏洞訪問任意攝像頭。

根據(jù)高盛等市場(chǎng)研究公司日前發(fā)布的數(shù)據(jù)，截至2017年，世界上的攝像頭總數(shù)約為14萬億個(gè)。到2022年，全球攝像頭總量將增至44萬億個(gè)。需注意的是，對(duì)手機(jī)來說，假設(shè)全球每人都使用兩臺(tái)，全球手機(jī)數(shù)目也不過150億臺(tái)左右。

“這一數(shù)量等級(jí)的差距，決定了攝像頭的監(jiān)管和使用很難做到面面俱到，也不可能像手機(jī)一樣做到一對(duì)一監(jiān)管。”華順信安安全總監(jiān)吳明說。

事實(shí)上，隨著智能電器快速發(fā)展，攝像頭在數(shù)量快速增長(zhǎng)的同時(shí)，漏洞也快速升級(jí)。報(bào)告顯示，自2017年起攝像頭漏洞呈現(xiàn)爆發(fā)式增長(zhǎng)。截至2018年11月份，攝像頭漏洞有221條，較2017年的186條增長(zhǎng)高達(dá)19%。

具體來看，攝像頭設(shè)備存在的漏洞類型包括權(quán)限繞過、拒絕服務(wù)、信息泄漏、跨站、命令執(zhí)行、緩沖區(qū)溢出、SQL 注入、弱口令、設(shè)計(jì)缺陷等。其中，權(quán)限繞過、信息泄漏、代碼執(zhí)行等類型漏洞數(shù)量占比最高，分別占所有漏洞類型總數(shù)的23%、15%和10%。

吳明說，代碼執(zhí)行漏洞的危害與影響最大，惡意攻擊者可以通過該漏洞執(zhí)行植入僵尸程序，達(dá)到完整控制該程序的目的。此外，攝像頭設(shè)備授權(quán)驗(yàn)證將直接導(dǎo)致用戶隱私數(shù)據(jù)遭到泄漏。“值得關(guān)注的是，硬編碼、默認(rèn)密碼、隱藏后門等占比 6%，此類漏洞可能是廠商或廠商被攻擊者入侵而在設(shè)備中制造的后門。”

“在目前攝像頭安全風(fēng)險(xiǎn)較大的情況下，華順信安希望通過網(wǎng)絡(luò)空間測(cè)繪技術(shù)，從暴露情況、漏洞、隱患等多方面對(duì)攝像頭應(yīng)用現(xiàn)存的安全威脅和相關(guān)黑色產(chǎn)業(yè)攻擊行為深度剖析，并可以利用網(wǎng)絡(luò)空間測(cè)繪技術(shù)對(duì)攝像頭實(shí)行安全排查，搭建安全防護(hù)體系，從根源上促使攝像頭使用生態(tài)實(shí)現(xiàn)優(yōu)化。”趙武表示。

專家建議，攝像頭設(shè)備應(yīng)用的特點(diǎn)決定攝像頭的安全問題應(yīng)將國(guó)家、企業(yè)和個(gè)人都納入其中;應(yīng)從標(biāo)準(zhǔn)制定、資產(chǎn)排查、風(fēng)險(xiǎn)監(jiān)測(cè)、漏洞修復(fù)等多個(gè)方面提高攝像頭的安全性，網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)將成為此過程中的重要技術(shù)力量和推動(dòng)攝像頭安全發(fā)展的技術(shù)突破口。(王軼辰)