这是一组触目惊心的数据——截至今年11月底,全球共有228个国家8063个城市中的2635万摄像头设备对公网开放访问权限,也就是对外暴露。这意味着,这2635万个摄像头可以直接通过网络进行访问,如果存在漏洞,黑客很容易获取到这些摄像头并且进行控制。
被暴露的摄像头中,越南位居第一,共有205万,约占20%。中国位列第三,共有165万,约占17%。
发布这组数据的北京华顺信安科技有限公司与白帽汇安全研究院认为,摄像头对公网开放的安全问题已是全世界共同面临的重要挑战。华顺信安是一家专注于安全大数据、网络空间测绘的互联网安全公司,其旗下FOFA搜索平台对全球42亿IP网络资产进行测绘建模。
摄像头暴露会有什么危害?北京华顺信安科技有限公司CEO赵武表示,廉价的摄像头、监视器等物联网应用产品大量出现,但这些产品往往没有采取任何安全措施,黑客能够轻易地控制它们;另一方面,随着物联网设备的增多,硬件难以更新。未来僵尸网络的规模会越来越大,攻击能力越来越强。
经济观察网记者了解到,常见的摄像头漏洞包括远程命令执行漏洞,任意文件读取漏洞,用户密码重置漏洞,未授权访问漏洞,登录绕过漏洞,存在隐藏后门等漏洞。
这些漏洞中的任何一个都能给用户带来极大的安全风险,导致隐私信息泄漏。比如通过漏洞,黑客可以直接获取用户密码配置和截图。可以在不登陆的情况下查看监控截图。
与漏洞危害较大相悖的现实是,大多数用户及厂家对于摄像头漏洞并不重视。华顺信安安全总监吴明介绍说,很多用户根本不知道该怎么修改摄像头密码,甚至都不知道摄像头的管理界面在哪里。他认为,对于用户个人来说,目前能做的就是及时修改密码,及时更新摄像头设备,不对公网开放,这些措施能在一定程度上保证自己家的摄像头安全。
随着智能电器的快速发展,摄像头数量快速增长的同时,漏洞也快速升级。《摄像头安全报告》显示,自2017年起摄像头漏洞呈现爆发式增长。截至2018年11月,摄像头漏洞有221条,较2017全年的186条相比,增长高达19%。
并且,摄像头安全也处在被厂家忽视的阶段。根据FOFA平台的抽样检测显示,一些数年前公布的漏洞现在依然存有较大的漏洞率。如2017年3月在国外论坛上公布的一个国产摄像头漏洞,目前国外几乎已经完成了全部修复,而国内漏洞率仍高达30%。
赵武呼吁,政府、企业、安全厂商应该进行联动,对摄像头安全问题予以关注。他建议,应从标准制定、资产排查、风险监测、漏洞修复等多个方面提高摄像头的安全性。
