攝像頭漏洞正在嚴重威脅人們的安全����。近日,北京華順信安科技有限公司與白帽匯安全研究院聯(lián)合發(fā)布《網(wǎng)絡空間測繪系列——2018年攝像頭安全報告》(以下簡稱報告)�。該報告顯示,攝像頭對公網(wǎng)開放的安全問題已是全世界共同面臨的一大挑戰(zhàn)。
當前����,攝像頭的應用已經(jīng)遍及城市交通、企業(yè)內(nèi)部��、醫(yī)院�����、銀行����、家庭等生產(chǎn)生活的各個場景。隨著攝像頭使用量不斷增加和應用場景不斷拓展�,攝像頭安全對于生產(chǎn)、生活的重要性日趨顯著�。但值得注意的是,攝像頭應用已形成了一條集黑客破解����、買賣、偷窺于一體的視頻攝像頭網(wǎng)絡黑色產(chǎn)業(yè)鏈����。
北京華順信安科技有限公司CEO趙武表示�,攝像頭危害較大的原因��,一方面是設備數(shù)量眾多���,安全性被使用者忽視�。廉價的攝像頭�����、監(jiān)視器等物聯(lián)網(wǎng)應用產(chǎn)品大量出現(xiàn)����,但這些產(chǎn)品往往沒有采取任何安全措施�,黑客能夠輕易地控制它們。另一方面����,隨著物聯(lián)網(wǎng)設備的增多,硬件難以更新�����,未來僵尸網(wǎng)絡的規(guī)模會越來越大����,攻擊能力越來越強�����。
近兩年���,攝像頭嚴重漏洞事件頻發(fā)。2018年6月份����,Axis攝像頭被ADOO安全公司發(fā)現(xiàn)存在7個安全漏洞,攻擊者可以利用這些漏洞以root權限執(zhí)行任意命令����。8月份,Swann攝像頭被發(fā)現(xiàn)存在訪問控制缺陷���,該漏洞可以將一個攝像頭的視頻流切換到另一個攝像頭上����,攻擊者可以利用該漏洞訪問任意攝像頭���。
根據(jù)高盛等市場研究公司日前發(fā)布的數(shù)據(jù)��,截至2017年�����,世界上的攝像頭總數(shù)約為14萬億個�。到2022年,全球攝像頭總量將增至44萬億個����。需注意的是,對手機來說�,假設全球每人都使用兩臺��,全球手機數(shù)目也不過150億臺左右�����。
“這一數(shù)量等級的差距�,決定了攝像頭的監(jiān)管和使用很難做到面面俱到,也不可能像手機一樣做到一對一監(jiān)管���。”華順信安安全總監(jiān)吳明說�。
事實上���,隨著智能電器快速發(fā)展���,攝像頭在數(shù)量快速增長的同時����,漏洞也快速升級����。報告顯示,自2017年起攝像頭漏洞呈現(xiàn)爆發(fā)式增長���。截至2018年11月份�����,攝像頭漏洞有221條��,較2017年的186條增長高達19%�����。
具體來看��,攝像頭設備存在的漏洞類型包括權限繞過��、拒絕服務��、信息泄漏�、跨站、命令執(zhí)行�����、緩沖區(qū)溢出��、SQL 注入�、弱口令、設計缺陷等����。其中�,權限繞過、信息泄漏��、代碼執(zhí)行等類型漏洞數(shù)量占比最高��,分別占所有漏洞類型總數(shù)的23%�、15%和10%。
吳明說���,代碼執(zhí)行漏洞的危害與影響最大���,惡意攻擊者可以通過該漏洞執(zhí)行植入僵尸程序��,達到完整控制該程序的目的�。此外���,攝像頭設備授權驗證將直接導致用戶隱私數(shù)據(jù)遭到泄漏���。“值得關注的是,硬編碼�����、默認密碼�����、隱藏后門等占比 6%�����,此類漏洞可能是廠商或廠商被攻擊者入侵而在設備中制造的后門。”
“在目前攝像頭安全風險較大的情況下�,華順信安希望通過網(wǎng)絡空間測繪技術,從暴露情況��、漏洞���、隱患等多方面對攝像頭應用現(xiàn)存的安全威脅和相關黑色產(chǎn)業(yè)攻擊行為深度剖析�����,并可以利用網(wǎng)絡空間測繪技術對攝像頭實行安全排查��,搭建安全防護體系�����,從根源上促使攝像頭使用生態(tài)實現(xiàn)優(yōu)化���。”趙武表示。
專家建議�,攝像頭設備應用的特點決定攝像頭的安全問題應將國家�、企業(yè)和個人都納入其中;應從標準制定、資產(chǎn)排查��、風險監(jiān)測、漏洞修復等多個方面提高攝像頭的安全性����,網(wǎng)絡空間測繪系統(tǒng)將成為此過程中的重要技術力量和推動攝像頭安全發(fā)展的技術突破口。(王軼辰)
