网络摄像头近些年被广泛应用于家庭看护、安全监控、远程协作等场景。由于网络摄像头需依托互联网实现实时监控、云端存储等功能,如果安全防护不足,可能成为不法分子攻击目标。
问题1:设备存在安全缺陷,厂家未及时更新固件
测试人员发现部分设备版本老旧未及时更新固件,存在安全缺陷,可以利用漏洞登录。
在远程技术检测中,测试人员发现某网络摄像头设备由于未及时更新固件,设备版本老旧,存在未授权访问漏洞。测试人员可以通过漏洞利用对摄像头配置文件进行解码,进一步获取账号和密码信息,登录查看摄像头实时画面,实现对摄像头的远程控制。
技术人员表示,摄像头厂商应该及时发现设备安全缺陷并推送固件更新。也有部分用户收到推送后没有及时更新,技术人员建议,厂商在推送时可在醒目位置提醒用户存在的风险,让用户了解更新固件的必要性。
问题2:用户安全意识不足,还在使用默认用户名、密码
测试人员发现部分用户开启RTSP协议时未设置身份验证、仍使用出厂默认口令,存在安全隐患。
通过对某家庭用户的网络摄像头远程检测,测试人员发现用户开启了RTSP协议,但未设置身份验证措施。没有这层保护,测试人员可直接通过视频工具连接访问摄像头,获取家庭实时监控图像。测试人员还发现,一部分老款设备仍在使用出厂默认口令,用户名、密码防护能力非常弱,攻击者可使用默认口令登录,查看摄像头实时画面并远程控制。
技术人员解释,RTSP是网络摄像头普遍支持的基本通信协议,常用于图像数据传输,开启该协议后可将实时视频流传输到监控中心或客户端,因此身份验证非常必要。技术人员建议,摄像头厂商可以要求用户在设置身份验证后,方可开启RTSP协议。
技术人员告诉记者,当前随着管理部门的督促力度加大和厂商的安全意识提升,市场上销售的网络摄像头大多需要先设置强口令方能使用。对于还在使用默认用户名、密码的老款设备,他建议用户尽快更改。
问题3:监控平台权限管理不到位,可直接控制学校全部摄像头
测试人员发现有学校监控系统综合管理平台存在未授权访问漏洞,登录后可控制学校全部摄像头。
测试人员发现,某学校监控系统综合管理平台存在未授权访问漏洞,通过漏洞可获取平台用户名、密码,登录管理平台获取管理员权限,控制平台内45个用户共281个摄像头,可任意更改平台相关配置,获取所有摄像头监控图像。
上述摄像头可以查看宿舍、后厨、餐厅甚至是校领导办公室。综合视频监控管理平台在学校、银行、企业使用较多,往往同时连接管理大量网络摄像头设备。通过未授权访问漏洞,攻击者不仅能查看实时监控,还可利用管理员权限,更大程度上控制摄像头,埋下较大安全隐患。
安全提示
网络摄像头厂商应对密码强度做明确要求,强化端到端加密传输;
明确告知用户数据存储位置及用途,避免过度收集;
建立完善的漏洞管理体系和固件更新推送渠道,及时推送并提醒用户更新升级。
用户应加强个人隐私保护意识,通过正规渠道购买网络摄像头,避免购买“三无”产品;
注意摄像头安装位置,不使用时可遮挡镜头或断电;
不随意共享设备权限,优先选择本地存储模式;
加强密码管理,避免使用默认口令或弱口令。