雷锋网AI研习社 AI投研邦 活动 专题 爱搞机
业界人工智能 学术 开发者 智能驾驶 新智驾TV AI+金融科技未来医疗网络安全智慧城市 智慧安防 智慧教育 智慧交通 智慧社区 智慧零售 智慧政务 机器人行业云智能硬件物联网GAIR
网络安全正文
1
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
本文作者:李勤 2016-12-16 17:09
导语:在这里,你可能看到香港的阿姨在家里洗菜、做饭,韩国的大叔在工位上抽烟,美国的老人坐在粉色沙发上看电视……
最近,同事发过来一个链接,说有一个大新闻,全球被“破解”的摄像头实时直播,在这里,你可能看到香港的阿姨在家里洗菜、做饭,韩国的大叔在工位上抽烟,美国的老人坐在粉色沙发上看电视……
然而,在雷锋网(公众号:雷锋网)编辑登陆 Insecam 这个网站后发现,这不是可能,这是事实,在“地区”一栏里,显示实时监控中国的摄像头就有164个。
无图无真相,先上图。
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
【Insecam 主页面及摄像头分布数量】
据 Insecam 称,其是全球最大的线上监视摄像头网站,汇流全世界 7.3 万支摄像头链接,点击可看到直播画面 。
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
从这个欢迎页面可以知道这些信息:
1.Insecam 里面列出了世界各国的摄像头内容,他们就是使用摄像头厂商的预设密码来破解这些摄影机,由于用户没有更换原厂预设密码,才被 Insecam 连结,甚至把影像放上网。
2.可以透过这个网站来找全球的摄像头实况录影。但若不想网路监视影像被放上网,可以电邮来函要求移除,目前被放上网的摄影画面均经过滤,敏感的内容已被删除,不会侵犯个人隐私。
3.如果摄像头的直播内容里发现敏感隐私或者不道德内容,网站一收到邮件投诉就会撤下。
4.若不想透过电邮与 Insecam 联络,那你就更换你家摄像头密码。
从这几点须知,可以得到两个心塞的结论。
这些摄像头被破解的原因是因为用户没有修改预设密码,而只有在用户自己看到这个网站上自己在“实时被直播”后通知网站或者自行修改密码才能避免继续被围观,呵呵哒;
如果这些直播里出现敏感或者不道德内容,只要没有人向网站投诉,则基本不会被下线,呵呵哒+1。
到此,你的心情是不是和编辑一样:
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
虽然,在这个网站上,大部分摄像头对准的是公共场所:超市、停车场、快餐厅、寺庙、机场……,但也有一些比较私密的地方:家庭泳池、厨房、客厅、健身房……
涉及中国的164 个摄像头分布在威海、烟台、北京、邢台、济南、成都、石家庄、长沙……简直一个都没有逃过,可以在大中华的版图上插满“到此一游”的旗帜。在这里,你可以看到姑娘在挑选新衣服,躺在小床上做美容的人、还有最右那位洗菜时可能稍微有点走光的大姐,编辑不是故意的。
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
【触目惊心的截图】
而据绿盟科技在 10 月份提供给雷锋网的一份 2016 网络视频监控系统安全报告数据显示,中国境内存在安全问题的视频监控系统,主要分布在台湾(16.1%)和广东(15.8%),合计占比31.9%,其次是江苏(7.9%)、福建(6.0%)、浙江(5.7%)等省份,但下面两张显示存在安全隐患的网络视频监控系统分布图可能更可怕,简直可以称得上密集恐惧了!
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
该报告还指出:这些分布在世界各地,且数据量巨大的网络视频监控系统,普遍都存在各种安全问题,如弱口令、 系统后门和远程代码可执行漏洞等。由于这类设备的管理特殊性,如使用者安全意识不强、设备久不 升级、设备固件升级缓慢等,导致这类设备的漏洞短时间内难以修复,且大量的这些设备并没有安全 防护,直接暴露于互联网中。
弱口令、 系统后门和远程代码可执行漏洞是什么?简单科普一下。
1.大量网络视频监控设备的登录密码使用默认密码,这些默认密码大部分是简单的弱口令,甚至一些设备就没有设置缺省密码,登录不需要任何的验证, 就可直接看到监控视频。比如,用户名 admin,密码为空(设个1234567890也比这个强)。
另外,大量设备生产商使用通用固件,导致这些初始密码在不同品牌或者同品牌不同类型设备 上是共用的,互联网上很容易查到这些设备的初始密码(编辑不会告诉你有一张易用密码表)。
2.还有一些设备存在后门,可以直接获取系统的 shell 权限,执行 shell 命令,新世界朝你打开。
3.经绿盟科技 DDoS 攻防研究实验室测试发现,某款网络视频监控系统系统存在远程代码可执行漏洞,该漏洞涉及到 70 多个不同品牌的摄像头。因为这些厂家都使用了同一个公司的产品进行贴牌生产。这些设备的 HTTP 头部 Server 带均有“Cross Web Server ”特征。利用该漏洞,可获大量含有此漏洞设备的 shell 权限。
只能说,快去检查一下,你家钥匙都送到别人手里了。
由于这些高危漏洞的普遍存在,黑客可以轻松获取大量网络视频监控设备的控制权。他们可以得到这些设备的视频监控信息,窥探或暴露用户的隐私,如上文所述的“被直播”;可以获取设备 shell 权限,利用僵尸工具上传恶意代码,保留后门等,并组建自己的僵尸网络,后续再通过 C&C 服务器控制这些肉鸡的攻击行为。
在采访中,绿盟科技的专家告诉雷锋网,就摄像头而言,当务之急是对产业链进行整体监管,很多摄像头在出厂时没有安全测试。从物联网的角度看,摄像头远程被访问,需要口令和认证,认证的话需要一些证书,但现在这些摄像头基本不具备认证能力。还有,摄像头其实有一个核心监管服务器,但现在的防护能力也不是很强。
所以在设计阶段,如果有监管要求,那么出厂时就会有安全设置,就像路由器、交换机一样,但是现在摄像头基本就是设置弱口令,很容易被破解当作肉鸡用。
如今年10月发生的美国东部地区发生的大断网事件,国内电子产品厂商雄迈的产品有与默认密码强度不高有关的安全缺陷,这是引发美国大规模互联网攻击的部分原因,而这一产品就是摄像头。
中国 164 个摄像头被破解,一言不合被直播是怎样的体验
该专家进一步指出,目前对摄像头的监管比较分散,导致问题一个个暴露出来,出现单点问题时,才会引起一点重视。最严重时,涉及到军事领域,一旦摄像头被暴露在网站上,公共安全受到很大的威胁。
在我国,也曾发生过类似的影响很大的事件。比如,2014年,温州地区的机顶盒服务器被攻击了,电视播放的全部为 XX功的宣传片。在中国,利用摄像头进行攻击也只是时间问题。
绿盟科技专家对于网络视频监控系统的生产商、用户和安全厂家提供了以下关于摄像头的建议。
对于网络视频监控系统的生产商,其设备的安全问题影响着自身的品牌信誉,进而影响其市场的发展,建议可以采取以下安全措施:
及时发现自身产品的安全漏洞并进行修复,若是贴牌生产也请及时联系原厂商进行修复,并将补丁发布到官网;
构建设备的远程自动更新机制,允许用户远程 / 或自动升级补丁或固件;
对设备上所有的密码设置复杂度要求,用户首次登录需修改默认密码,默认初始密码尽量出厂;
关闭不使用的端口。
建议用户可以采取以下措施应对:
尽量避免将网络视频监控设备部署在互联网上,可以部署在私网内,或者通过 VPN 连接访问;
设置复杂密码;
及时更新最新补丁及固件。
对于安全厂商来说,需要做的事情远远不止以下这些:
及时发布漏洞信息,监控攻击动态,通知监管单位或者用户,及漏洞厂商等;
不断跟进分析相关恶意程序及其变种,提高安全设备 / 安全服务的防护能力。
最后,雷锋网宅客频道建议,赶紧抬头看看,自己有没有“被直播”,要做的第一件事就是改密码!当然,如果你天生愿意秀,把密码改为出厂设置,然后主动联系一下网站,编辑是不会拦着你的。但是,这样的话,你家摄像头还可能成为“肉鸡”军团中的一员,下一次断网,元凶可能还是你。
文/李勤 (微信ID:qinqin0511,欢迎爆料、约聊)
雷锋网原创文章,未经授权禁止转载。详情见转载须知。
3人收藏 分享:
相关文章
摄像头被破解摄像头偷窥物联网
智能摄像头分分钟被攻破,隐私无处藏 | CES Asia
图森未来最新突破:发布自动驾驶摄像头感知系统,加 ...
未来几年,谁能拯救手机拍照功能?
情侣睡觉被直播:只要给钱,看啥都行!
文章点评:
我有话要说……
表情 同步到新浪微博 提交
李勤
编辑、作者
跟踪互联网安全、黑客、极客。微信:qinqin0511。
发私信
当月热门文章
国内某天气App被指上传用户Wi-Fi 信息,还牵扯了腾讯,怎么回事?
AI 让朱茵秒变杨幂,但我拒绝成为波多野结衣
360集团技术总裁、首席安全官谭晓生宣布离职
NSA 正式上线免费逆向工程工具 Ghidra
Facebook 明文存储数亿用户密码,被员工访问 900 多万次
最新文章
Pwn2Own 2019第 3 天:黑客成功拿下了特斯拉和一大笔奖金
超 10 万个 GitHub 仓库可泄漏 API 令牌及密钥
太缺德!黑客居然操控飓风警报半夜惊醒两城居民
脸书又双叒叕泄露6亿用户数据,GDPR:来小扎,我们聊聊
胆大黑客竟敢入侵交警视频监控后台“销分”,这是什么鬼操作 | 视频监控安全系列(一)
视频|手机锁屏了APP能不能窃听?我亲自试了试
热门搜索
日报KickstarterFoursquare互联网金融看点PC空气净化器OFOCortanaAT&T风险
热门关键字
热门标签人工智能 机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会先打智能硬件公司智能硬件QQ红包支付宝红包敬业福华米小米note 2量子计算机智能插座华为p8jaunt苹果手机电池智能口罩surface 2大华乐橙直播为什么这么火iphone塔防游戏排行深度学习芯片macbook pro 发售时间ux设计师更多
联系我们关于我们加入我们意见反馈投稿申请专栏作者
Copyright © 2011-2019 www.leiphone.com 雷锋网-读懂智能&未来 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank
文章评论