警方耗时19天抓捕了摄像头破解软件黑产,但你还要知道这些才能放心

本文涉及的产品
数据传输服务 DTS,数据迁移 small 3个月
推荐场景:
MySQL数据库上云
数据传输服务 DTS,数据同步 small 3个月
推荐场景:
数据库上云
数据传输服务 DTS,数据同步 1个月
简介:
  

最近,雷锋网了解到,北京警方花了19天,摧毁了中国首例网上传播家庭摄像头破解软件的犯罪链条,抓获涉案人员 24 名。

事情要追溯到 6月18日,央视新闻频道称,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,有大量人员非法购买后利用摄像头进行偷窥,严重侵犯了公民个人隐私。

央视新闻频道还称,大量家庭摄像头存在的安全问题,只需要通过特定的扫描软件,就能够攻破摄像头的IP 地址,然后将被破解的 IP 地址输入播放软件,就可以实现偷窥。

这时,大批吃瓜群众才知道,原来自己在摄像头前的一举一动,很可能成了他人眼中直播真人秀。

当房间空无一人的时候,你有没有试过自己一个人尬舞?有没有对着镜子搔首弄姿,沉浸于自己的美貌?又或者,打开某个小草网站,开始做头部以下不可描述的事情?

虽然,你只愿享受这片刻的欢愉,但是,很有可能,“You are being watched”。

警方耗时19天抓捕了摄像头破解软件黑产,但你还要知道这些才能放心

国家互联网应急中心高级工程师高胜称,这些软件主要是依靠扫描器,用一些弱口令密码,做大范围的扫描。随后,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测,仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。

日前,质检总局发布摄像头抽样检测报告,结果显示 40 批次产品中高达32批次存在安全风险。

那么,为何这些网络摄像头这么容易被攻破?

造成摄像头的信息安全风险的原因有很多,但是多存在于数据传输、弱密码口令、操作系统/固件更新、敏感信息的本地存储、身份鉴别、云平台等环节。

下面,雷锋网(公众号:雷锋网)宅客频道(微信ID:letshome)带你一一解析:

1.数据传输

根据质检总局的调查,28 批次样品数据传输未加密。如果在数据传输的过程中进行加密,即使黑客拦截相应的信息也只能看到代码,看不到实际摄像头拍下来的影像。

当然,除了对传输过程进行加密,对录像的本地存储数据进行加密也很重要。

2.弱口令 / 密码

在该报告中,还有 20 批次存在弱口令,或者限制用户密码复杂度的问题。

有些产品生产出来以后,会设置非常简单密码,比如说“00000”、“123456”等,很容易被黑客破解。如果摄像头出厂前设定大小写、以及数字和字幕结合的密码设定,会安全很多。

2016 年 10 月,美国互联网遭遇前所未有的黑客攻击,几乎半个美国的网络陷入瘫痪。这其中,某款国产的网络摄像头的就因为存在弱密码口令漏洞,而遭受黑客攻击,最后不得不召回部分产品。

3.操作系统 / 固件更新

还有 10 批次样品在操作系统更新有问题:未提供固件更新修复功能或者固件更新方式不安全。

其实,这个锅还得中小型厂家背,因为部分厂家不具备在线升级能力,还在使用 U盘,硬盘刷机物理方式升级,根本无法处理应急安全漏洞的问题。因此,厂商需要完整 OTA 在线升级方案,及时修补安全漏洞。

4.敏感信息的本地存储

16 批次样品的密码等敏感数据在本地存储时未采取加密保护措施。各个厂家对本地存储的理解不一样,小厂家将本地存储认定为 用户自己的行为——你已经存储到本地,用户自己保存就好,不会采取任何安全防护措施。

最好的做法还是本地以及云端都采用加密存储的方式。

5.身份鉴别

18 批次样品在身份鉴别方面未提供登录失败处理功能。

有很多厂商在产品生产后没有对反复登录频次进行限制,以至很多黑客可以反复尝试密码,用用户信息或者其他密码尝试一直到攻破摄像机。

6.云平台

10 批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。

由于很多厂商都不具备自己的云服务能力,往往会跟一些性价比较高的第三方云服务提供商合作。一旦云服务商没有处理好安全问题,被黑客攻破后,所有跟他合作的摄像头厂商受到影响,造成用户信息泄露。

一粒老鼠屎,打坏了一锅油。

安全的做法是:对每一个用户、每一台设备都设立独立密钥。

雷锋网注:本文参考了质检总局在 360 智能硬件产业安全联盟大会上发布的报告、360摄像机产品负责人赵谦的发言。不久前,360 联合数十家受此次事件影响的网络摄像头厂商,共同发起了智能硬件产业安全联盟,公开了 360 硬件产品的安全标准规范,以及自家的SMART OS,联手防止“一言不合被直播”。

   
  本文作者: 周翔

本文转自雷锋网禁止二次转载, 原文链接
相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
Sqoop 企业级大数据迁移方案实战
Sqoop是一个用于在Hadoop和关系数据库服务器之间传输数据的工具。它用于从关系数据库(如MySQL,Oracle)导入数据到Hadoop HDFS,并从Hadoop文件系统导出到关系数据库。 本课程主要讲解了Sqoop的设计思想及原理、部署安装及配置、详细具体的使用方法技巧与实操案例、企业级任务管理等。结合日常工作实践,培养解决实际问题的能力。本课程由黑马程序员提供。
目录
相关文章
|
Web App开发 云安全 安全
IE漏洞致数百万用户中招 快用瑞星卡卡打补丁
北京时间12月18日凌晨,微软发布了针对IE浏览器漏洞的最新补丁MS08-078,这是该公司今年第二次打破常规发布紧急漏洞补丁。瑞星旗下卡卡上网安全助手也进行了紧急升级,非正版软件用户可以用瑞星卡卡(http://tool.ikaka.com)来弥补这个系统漏洞。
1101 0
|
监控 安全
卡巴斯基手机安全软件:让遗失手机远离“短信门”
近日,“女局长暧昧手机短信曝光”事件已经迅速占据了各媒体的头条,用户在唏嘘之余不由得捂紧了自己的手机——如何在手机丢失后保护个人隐私安全已成为绝大多数手机用户束手无策的问题。卡巴斯基手机安全软件反盗窃、隐私保护功能能够为手机用户做到远程锁定手机、远程删除隐私、进行SIM卡监控,全方位保证手机丢失后的个人信息安全。
1202 0
|
安全 Windows
卡巴提醒:新型魔兽盗号木马现身 玩家须小心提防
《魔兽世界》作为全球第一大网络游戏,吸引了大批玩家,自然也成为恶意程序攻击的重点对象。针对魔兽的盗号木马、后门程序等一直层出不穷。 卡巴斯基实验室近期检测到一种名为“魔兽猎手”的盗号木马(Trojan-GameThief.Win32.WOW.inn)肆虐网络,造成不少玩家感染,损失惨重。
921 0
|
安全
变形金刚热映黑客借机“下毒” 用户谨防木马
6月24晚凌晨,备受全球“金粉”期待的大片《变形金刚2》火热登陆北京各大院线,票房再现“井喷”之势。与此同时,金山毒霸云安全中心从该片众多下载链接中,检测、拦截到诸多木马和病毒。金山毒霸反病毒专家李铁军提醒广大互联网用户:支持正版影片,谨慎选择互联网下载链接。
1009 0
|
安全 物联网 C++
记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞
本文讲的是记一枚可能被夸大的“数百万物联网设备远程劫持”漏洞,安全研究人员发现,主流互联网设备制造商使用的开源组件开发库存在一个严重级别的远程命令执行漏洞(CVE-2017-9765),可使数百万物联网设备陷入危险之中,容易受到攻击。
1558 0
|
安全
MIUI刷机曝重大危险 可致短信照片等个人隐私被盗
本文讲的是MIUI刷机曝重大危险 可致短信照片等个人隐私被盗,日前乌云平台披露MIUI存在高危级别漏洞,黑客可轻易窃取短信、通讯录、照片等手机数据,甚至威胁手机支付的财产安全和云端备份的隐私资料。
2571 0
下一篇
无影云桌面