最近发布的《网络空间测绘系列——摄像头安全报告(2018)》指出,摄像头对公网开放的安全问题已经成为全球面临的重大挑战。随着物联网技术的飞速发展和“互联网+”模式的普及,摄像头被广泛应用于城市交通、企业内部、医院、银行以及家庭等各个领域。摄像头的安全问题也随之凸显,形成了一个包括、买卖和的网络黑产链。
北京华顺信安科技有限公司的CEO赵武指出,摄像头安全问题的严重性主要源于两个方面。随着摄像头数量的急剧增加,安全性问题被使用者所忽视。大量廉价摄像头等物联网应用产品缺乏必要的安全措施,使得能够轻易控制这些设备。随着物联网设备的增多,硬件更新变得困难,未来僵尸网络的规模和攻击能力将越来越强大。
报告中提到,近年来已经发生了多起摄像头严重漏洞事件。例如,Axis摄像头被发现存在七个安全漏洞,攻击者可以利用这些漏洞执行任意命令。Swann摄像头也存在访问控制缺陷,攻击者可以利用该漏洞访问任意摄像头。华顺信安公司的安全总监吴明介绍,全球摄像头的数量正在快速增长,预计到2022年将达到惊人的44万亿个。与此相比,手机的数量远远不及,这决定了对摄像头的监管和使用难以全面覆盖。随着智能电器的快速发展,摄像头的漏洞也在快速升级和增多。自2017年起,摄像头漏洞呈现爆发式增长,截至2018年11月,漏洞数量已达221条。其中权限绕过、信息泄漏和代码执行等类型的漏洞数量占比最高。
华顺信安公司利用网络空间测绘技术对摄像头设备进行扫描后发现大量网络资产在公网上。其中,代码执行漏洞的危害和影响最大,恶意攻击者可以通过该漏洞执行僵尸程序以完全控制该程序。摄像头设备的授权验证问题将导致用户隐私数据泄漏。值得一提的是,一些硬编码、默认密码和隐藏后门等漏洞可能是厂商受到攻击而在设备中设置的后门。提高摄像头安全性需要从标准制定、资产排查、风险监测和漏洞修复等多个方面入手。网络空间测绘技术将成为推动摄像头安全发展的重要技术力量。赵武表示,摄像头的安全问题涉及到、企业和个人层面,应共同努力优化摄像头使用生态并搭建安全防护体系。通过深入剖析现有安全威胁和相关黑色产业攻击行为以及利用技术突破提升安全防护能力等措施来实现对摄像头安全问题的根本解决。
