首页 经验文章正文

白帽黑客入侵少妇摄像头:连表情都如何入侵摄像头一清二楚

经验 2021-10-25 18:39:46 248 jason

昨天,专业的实验室技术人员对《法制晚报》记者进行了验证,利用这个漏洞成功“入侵”了几个摄像头,他们的私生活被“直播”了。此漏洞可能导致40,000多台摄像机暴露。

然而,在攻击市场上一些常见品牌的网络摄像头时,“入侵”因其验证程序而不成功。专家建议固件要及时升级,不用的时候可以做屏蔽。

发现漏洞而不攻击网络。

实时监控拍摄内容。

近日,一篇名为《RTSP未授权访问来获取摄像头内容》的网文引起了网友的关注。

据网帖介绍,RTSP是一种实时流媒体协议,广泛应用于视频直播领域。这符合网络摄像头的实时查看功能。因此,很多相机厂商都会在相机中打开RTSP服务器,用户可以通过视频播放软件打开地址实时查看相机图像。

但是由于安全设计不到位,很多厂商没有相应的身份认证手段。这样一来,任何人都可以通过地址直接查看摄像头拍摄的实时内容,无需授权。

据技术人员介绍,网络摄像头的操作是通过网络技术实现的。过去黑客利用攻击IP地址或攻击服务器来获取相应的操纵权限,但这次发现的漏洞甚至可以避免攻击的“麻烦”,因为无需认证,只要找到IP地址和打开方法,就可以实时操纵。

实验

随机实验很容易“入侵”。你可以在电视上看到表情的变化。

昨天,技术人员为记者演示了漏洞的危害。通过搜索网络IP地址,技术人员毫无阻碍地“入侵”了一台网络摄像机。

根据IP地址,这是香港的一个家庭。摄像机应安装在客厅顶部,画面清晰,整个房间布局清晰。你可以看到一个30岁的女人在打扫家务,一个孩子在沙发上玩耍。孩子的笑容和咖啡桌上的食物清晰可见。

另一个“入侵”的摄像头放在电视上方,拍摄到的画面显示,一个戴眼镜的男人全神贯注地看电视,面部表情不断变化。大约10分钟后,男子用遥控器关掉电视,起身离开。

另外,通过检索图片,记者注意到一些企业安装的摄像头也存在这样的风险,某企业的摄像头正对着员工的电脑屏幕,容易造成泄密。

通过全网扫描,技术人员发现了一个高风险的网络接入端口。这些端口可以直接获取视频数据,无需认证,并实时监控。其中,中国共有1台摄像机受到影响。

市场上的品牌实验产品需要安全验证才能成功抵御漏洞攻击。

通过上述实验方法无法得知被入侵网络摄像头的品牌,那么商用网络摄像头是否存在这样的风险?

技术人员随机抽取海康、小蚂蚁等多个品牌的网络摄像头,为其设置IP地址,按照上述步骤进行实验。

在实验过程中,技术人员发现Hikvision摄像机需要输入用户设置的用户名和密码才能检索实时图像。如果要破解用户名和密码,需要其他攻击方法,非常繁琐。而一旦用户更改密码,之前的破解工作就白费了。

小蚂蚁等网络摄像头的防范措施比较复杂,技术人员在测试时无法利用网帖中提到的漏洞对其进行攻击。

技术解释

低级别漏洞解决很简单。

只需设置一个安全帐户。

早在2007年,就有利用漏洞控制摄像头导致泄密的报道。当时,黑客主要攻击计算机系统,获得用户主机的控制权,然后打开探头。随着互联网安全技术的发展,此类攻击逐渐减少。相反,攻击直接连接到网络的网络摄像头。

据报道,这次发现的漏洞比较低,大部分都是国内的小品牌甚至是‘山寨’厂商。

技术人员指出,这次发现的漏洞相对较低,除了实时图片外,可以泄露的信息非常少。要想知道用户的地址、摄像头型号甚至进行针对性的攻击,都是非常困难的。

这种漏洞是可以避免的,不需要太复杂的防御措施。厂商只需要要求用户设置安全账号,就可以起到一定的防范此类漏洞的作用。

安全提示

及时升级固件。

不使用时遮住相机。

安全技术人员建议,购买网络摄像头时一定要选择正规的大品牌,不要试图让它变得更便宜,造成更大的损失。同时,要提高自己的安全意识,记得定期升级安全固件,并经常更换密码。如果用户在家或者暂时不使用,可以考虑用胶带将摄像头遮挡或者密封,即使破解了对方也无法观看。

发表评论

评论列表

外汇信息网Copyright www.trzwater.com Some Rights Reserved. 备案号:鲁ICP备12015537号-1