正在閱讀:是什麼讓本應看家護院的攝像頭 反令城門失守?是什麼讓本應看家護院的攝像頭 反令城門失守?

2019-08-22 00:15 出處:PConline原創 作者:卡夫卡 責任編輯:sunziyi

  [PConline 雜談]近些年由於頻頻曝出安全漏洞,讓本應守護安全的監控攝像頭,不僅威脅到我們的安全更嚴重侵犯了個人隱私。如今,攝像頭應用已形成了一條集駭客破解、買賣、偷窺於一體的視頻攝像頭網路黑色產業鏈。

  尤其是近兩年,攝像頭嚴重漏洞事件頻發。2018年6月份,Axis攝像頭被ADOO安全公司發現存在7個安全漏洞,攻擊者可以利用這些漏洞以root權限執行任意命令;同年8月份,Swann攝像頭被發現存在訪問控制缺陷,該漏洞可以將一個攝像頭的視頻流切換到另一個攝像頭上,攻擊者可以利用該漏洞訪問任意攝像頭。。。

  就在近日,技術人員便在谷歌的Nest Cam IQ網路攝像頭(4620002版本)中發現了8個安全漏洞,包括三個拒絕服務(denial-of-service,簡稱DoS)漏洞,兩個代碼執行漏洞以及三個可被用於竊取資訊的漏洞。

  在進一步了解後得知,CVE-2019-5035和CVE-2019-5040是最嚴重的兩個漏洞,二者能夠被駭客發送的特制數據包觸發,前者允許駭客擴大Weave訪問及控制設備,而後者則可以幫助駭客讀取加密數據。

  此外,還包括Weave遺留配對漏洞(Weavelegacy pairing vylnerability)(CVE-2019-5034)、WeaveTCP連接中的DoS漏洞(CVE-2019-5043)、Weave錯誤報告功能元件中的WeaveKeyError DoS漏洞(CVE-2019-5036)、Weave證書加載功能元件中的DoS漏洞(CVE-2019-5037)、Weave工具的print-tlv命令漏洞(CVE-2019-5038),以及Openweave-core(4.0.2版)的ASN1證書編寫功能元件漏洞(CVE-2019-5039)。慶幸的是,目前設備廠商已推出相應安全補丁,建議用戶儘快更新。

  其實,不僅僅是這次的谷歌Nest Cam IQ網路攝像頭出現過問題。據相關市場數據顯示,截至2017年,全球攝像頭的總量約為14萬億個;等到2022年,這一數字還將增至44萬億個。或許這樣說有些抽象,拿手機舉例,如果全球每個人都使用兩部手機,那麼全球手機總數也不過150億台左右。

  事實上,隨著智能設備的快速發展,攝像頭在數量快速增長的同時,其內部存在的漏洞也呈現爆發式增長。截至2018年11月份,攝像頭漏洞共有221條,與2017年的186條相比,增長高達19%。具體來看,攝像頭設備存在的漏洞類型包括權限繞過、拒絕服務、資訊洩漏、跨站、命令執行、緩衝區溢出、SQL 注入、弱密碼、設計缺陷等。其中,權限繞過、資訊洩漏、代碼執行等類型漏洞數量佔比最高,分別佔所有漏洞類型總數的23%、15%和10%。

  當中,代碼執行漏洞的危害與影響最大,惡意攻擊者可以透過該漏洞執行植入僵屍程式,達到完整控制該程式的目的。此外,攝像頭設備授權驗證將直接導致用戶隱私數據遭到洩漏。值得關注的是,硬編碼、默認密碼、隱藏後門等佔比6%,此類漏洞可能是廠商或廠商被攻擊者入侵而在設備中製造的後門。

  顯然,攝像頭在網路安全挑戰面前,與其他聯網設備一樣脆弱。在很多情況下,攻擊者會對攝像機的協議和連接埠進行掃描,然後瀏覽和訪問設備管理的頁面,如果失敗,便會選擇更加複雜的方式進行掃描,從而找到攝像機,並模倣授權用戶。值得注意的是,攻擊者並不需要透過軟體漏洞便能實現攻擊攝像頭,許多攝像頭的設計缺陷,或者其他連接的設備一旦有安全漏洞,便能成為駭客攻擊的切入口。

  另一種比較常見的方式是,攻擊者利用攝像機在開源或第三方庫中已知的軟體漏洞進行攻擊,例如網路伺服器是相對較為脆弱的元件,通常都可以看到關於駭客利用第三方網路伺服器的漏洞進行訪問攝像頭的新聞。

  還有一類是,攻擊者利用命令注入攻擊(Command Injection)的方式,其是指由於Web應用程式對用戶提交的數據過濾不嚴格,導致駭客可以透過構造特殊命令字元串的方式,將數據提交至Web應用程式中,並利用該方式執行外部程式或系統命令實施攻擊,非法穫取數據或者網路資源等。換言之,只要開發者對數據過濾的好,利用好白名單,就可以規避這種攻擊。

  基於以上幾點,作為普通用戶而言,首先可以透過修改初始密碼,使用複雜密碼為監控攝像頭的安全進行加權。除此之外,及時關注設備廠商推送的固件更新資訊,及時為設備進行安全陞級。 當然這在充滿未知的網路挑戰面前只是基礎的工作,攻擊者能實現繞過攻擊,即透過弱的安全認證方式訪問攝像頭,在更加複雜的情況下,也可運用惡意軟體使用攝像機中的代碼漏洞加載其他病毒文件,攻擊其他的目標等等。

 
是什麼讓本應看家護院的攝像頭 反令城門失守? 如何滿足大量列印任務?一台佳能G6080就夠了 極米Z系列迎來大陞級?極米Z8X智能投影機了解下 繼電信之後聯通公佈5G資費 價格方面有點嚇人 佳能G6080加墨式一體機開箱 竟能列印8300頁?

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品