你家摄像头正在被“偷窥” 客厅卧室变“直播现场”
《IT时报》官方账号
一个二维码就能“打开”房门
作者/ IT时报记者 潘少颖
编辑/ 郝俊慧 孙妍
昏黄的灯光下,客厅沙发上有人闭目养神;卧室里,手机屏幕的荧光映着低头刷屏的脸庞;哄着孩子的年轻妈妈,哼着轻柔的摇篮曲……这些温暖而私密的场景,却可能在你毫无察觉时,被一双冰冷的“眼睛”记录下来,传向未知的远方,甚至被公然明码标价叫卖。
近日,国内知名白帽黑客安全社区GEEKCON对市面上11款主流家用摄像头进行了网络攻防实测。在这场没有硝烟的测试中,GEEKCON发现,只需几个简单步骤,“黑客”便可以绕过验证进入摄像头后台,镜头所至,一览无余。
或为了关注老人、孩子、宠物,或为了保障财产安全,近几年来,家用摄像头逐渐成为许多家庭的“标配”。然而,部分摄像头因安全漏洞,竟成为黑客窥探隐私的“帮凶”,让家门形同虚设,随时可被陌生人“推开”,甚至在一些非法交易平台上,出现了所谓“实时偷窥直播”“家庭视频打包出售”的灰色产业链。
“用户往往对设备过度信任,却忽视了它也是联网设备,需要同样的安全防护。”GEEKCON安全研究员徐梓凯对《IT时报》记者表示。
白帽子实测
11款家用摄像头
GEEKCON安全实验室桌上摆着11款家用摄像头,包括小米、海雀、萤石、海康威视、TCL等品牌,这是依据主流电商平台品牌推荐榜、产品销量排行榜及线下市场调研结果,经由网友投票遴选,最终确定作为评测目标的产品。
“我们主要聚焦三个关键攻击面:首先是远程攻击,也就是黑客隔着网络动手脚;其次是邻接攻击,像在同一局域网内搞破坏;最后是物理攻击,直接对摄像头硬件下手。”徐梓凯告诉《IT时报》记者,在攻击防护方面,重点测试摄像头能否绕过鉴权、有没有暴露危险服务以及固件会不会被篡改;在事后风险把控上,着重看摄像头能不能防住隐私窃取、会不会被植入后门以及设备控制权会不会轻易落到别人手里。
在测评中,主要用到的技术手段包括通过手机流量抓取、路由器流量截取及HTTPS中间人劫持等多种方式,获取用户端App与云端、摄像头终端与云端之间的交互流量数据;通过获取设备固件更新包、读写设备存储芯片等多种技术手段,了解家用摄像头的整体功能实现架构,分析设备针对特定攻击的防御能力;借助编程器对摄像头存储芯片进行读写操作,绕过多款设备的安全启动机制,获取设备命令行权限,对摄像头的核心业务逻辑实施动态调试分析。
最后结果显示,有两款摄像头存在高危漏洞,攻击者可直接利用漏洞远程实时查看摄像头拍摄的画面,让设备瞬间沦为“偷拍工具”;六款摄像头在特定攻击场景下,也存在漏洞被利用的风险,可能成为家中隐私泄露的“不定时炸弹”。11款摄像头中,安全性位列前三的是小米云台3、萤石C8c和萤石C6c-4K。
手机号一旦泄露
家用摄像头被全控
“这位妈妈在家里抱着孩子,我们能看到实时画面,还能和她对话。”在一段测试视频中,《IT时报》记者看到,当测试人员模拟攻击者对某品牌一款主要用于婴儿看护的摄像头发起攻击后,这个用户家中的画面就实时出现在“黑客”的屏幕上,屏幕上,一个妈妈正在哄抱在手里的婴儿。此时,“黑客”远程“喊话”,但这位妈妈却无法知道“躲”在摄像头后面的人是谁。
“只需要获得注册该摄像头的手机号就能利用漏洞对其进行劫持,也无须在同一网络中。”徐梓凯解释,对于职业黑客来说,获取特定对象的手机号并不困难。如果攻击者不发出声音,被拍的“主角”全程无感知。在徐梓凯看来,主要是因为厂商对安全的重视度不够,投入也不够。
打开电商平台的评论区,可以看到不少“买家秀”,风险可能就来自这些评论。“有的买家图片里有摄像头二维码,如果摄像头有漏洞,攻击者就可以利用这个二维码‘大做文章’。”徐梓凯说。
在一个测试视频中,一个正躺在沙发上刷手机的小伙子突然被一阵诡异的笑声吓了一跳,原来是他家中的某款摄像头在“作怪”,被攻击者远程控制。
这个摄像头被劫持的原因是“暴露”在网上的二维码,攻击者通过扫描二维码获取目标设备的序列号后,利用未知漏洞对目标设备进行远程控制。
由于每个摄像头的二维码对应唯一密钥(即“一机一密”),一旦泄露便可能被恶意利用,所以消费者尽量不要随意将二维码展示在网上。“二维码本质上是一串文本,攻击者通过扫码识别出该用户摄像头的序列号,远程将他人的摄像头绑定至自己手机,成功获取实时画面。”徐梓凯解释道。
在他看来,这两款摄像头的安全漏洞,均暴露了产品基础防护机制的薄弱。“此类漏洞利用门槛较低,存在较高的在野利用风险,希望通过披露能敦促厂商尽快修复漏洞,保护消费者的合法权益。”据了解,目前,GEEKCON正在和相关厂商沟通。
云端管理需重视
杜绝二次包装销售
早在2016年的央视3•15晚会上,GEEKCON就展示了设备近场通信鉴权不足、攻击者可远程控制摄像头的现象,敲响了家用摄像头安全的警钟。
“总体而言,家用摄像头的安全水平较十年前已有显著提升。”徐梓凯说,比如主流家用摄像头基本采用“一机一密”架构,对设备暴露的服务接口实施更为严格的访问控制机制;部分头部厂商通过采用自研安全协议来部署一些关键节点上的安全加固措施,一定程度上解决了弱密码与默认凭证问题,由用户操作不当引发的摄像头入侵风险已大幅降低。
但是,目前家用摄像头还存在一些风险,比如新兴云服务作为家用摄像头的重要增值服务已被广泛应用。但在提升便捷性的同时,若厂商在安全配置环节存在疏漏,用户的隐私数据,包括摄像头采集的图像与视频内容,均可能面临大规模泄露风险。即便设备未被完全控制,也相当于在家中安了一个用户毫不知情的偷拍装置。
值得肯定的是,多数厂商已经开始重视相关云服务带来的安全风险,在关键的凭证管理、权限配置环节部署了安全加固措施。
另一个严重的问题是未禁用的硬件串口存在被恶意利用的风险。“攻击者可以在设备中植入后门程序,重新封装后将产品进行二次销售,一旦此类设备流入用户家庭,攻击者便能随时远程访问摄像头的实时画面。”徐梓凯告诉《IT时报》记者。
家用摄像头内部核心结构由芯片板与摄像头组件构成,存储芯片不仅记录着设备全部信息,也是运行程序的载体。若攻击者拆解设备,一旦芯片或设备本身存在设计缺陷,攻击者便能植入后门程序,随后通过二次销售、赠予他人或混入退货商品等方式使设备流入市场。
对此,GEEKCON建议厂商要杜绝存在安全隐患的产品二次销售,优化设备设计,从根源上消除芯片被篡改的可能;也建议消费者优先选择在安全方面有持续投入和良好声誉的知名品牌;通过官方渠道购买家用摄像头,谨慎选择二手产品;摄像头尽量避开床、卧室等隐私区域,人在家时最好关闭摄像头;切勿泄露摄像头序列号等敏感信息。
排版/ 季嘉颖
图片/ GEEKCON IT时报
来源/《IT时报》公众号vittimes
E N D
