技術人員利用網絡漏洞，輕易“入侵”家用攝像頭，私生活一覽無余

出門在外還可以讓你隨時查看家中情況，網絡攝像機已被越來越多的家庭所青睞。但關于它可能造成隱私泄露的問題也一直被關注。近日，有網帖稱又發現了一個網絡漏洞，可讓黑客輕易獲取攝像機的拍攝內容。

昨天，專業實驗室技術人員為《法制晚報》記者做了驗證，利用這個漏洞果然成功“入侵”多個攝像頭，他們的私生活被“實時直播”。而這一漏洞可能造成4萬多個攝像頭存在泄密風險。

不過當對市面上的部分常見品牌網絡攝像機攻擊時，因其有驗證程序，“入侵”未成功。專家提示，應及時升級固件，同時可在不使用的時候進行遮蔽處理。

發現漏洞

不用攻擊網絡

可實時監看拍攝內容

近日，一片名為《RTSP未授權訪問來獲取攝像頭內容》的網帖引起了網友的關注。

網帖稱，RTSP是一種實時流傳輸協議，該協議被廣泛用于視頻直播領域。這正好符合了網絡攝像頭實時觀看的功能。因此，許多攝像頭廠商會在攝像頭中開啟RTSP服務器，用戶可通過視頻播放軟件打開地址進行攝像頭畫面的實時查看。

但是由于安防設計不到位，許多廠商并沒有配套相應的身份認證手段。導致任何人都可以在未經授權的情況下直接通過地址觀看到攝像頭拍攝的實時內容。

技術人員介紹，網絡攝像機的操作是通過網絡技術實現的。以往黑客都是通過對IP地址發動攻擊或是攻擊服務器獲得相應的操縱權，而此次發現的漏洞甚至可以免除攻擊的“麻煩”，因為沒有認證，只要找到IP地址和打開方式就可以實時操縱。

實驗

●隨機實驗 輕易“入侵” 看電視表情變化都能看到

昨日，360攻防實驗室的技術人員為記者演示了漏洞的危害。通過搜索網絡IP地址，技術人員在沒有任何阻攔的情況下便“入侵”了一個網絡攝像頭。

IP地址顯示，這是位于香港地區的一戶家庭。攝像頭應該安裝于客廳頂部，畫面清晰，整個房間的布局陳設一目了然。可看到一名30歲左右的女士在收拾家務，一個幾歲的孩子正在沙發上玩耍，孩子的笑容以及茶幾上擺放的食物清晰可見。

而另一個被“入侵”的攝像頭則安放在了電視上方，調取的畫面顯示，一位戴眼鏡的男士聚精會神地看著電視，可能太過入神，面部表情在不斷變化。大約10分鐘后，男士用遙控器關閉電視，起身離開。

此外，通過調取畫面，記者注意到，還有部分企業安裝的攝像頭也存在這樣的風險，其中一家企業的攝像頭正對著員工的電腦屏幕，很容易造成泄密。

通過全網掃描，技術人員發現了45488個是高風險網絡接入端口。這些端口無需認證就可以直接獲得視頻資料，并實時監看。其中，中國境內共有18230個攝像機受到影響。

●品牌實驗 市售產品需安全驗證 成功抵御漏洞攻擊

上述實驗方法無法獲知被入侵的網絡攝像機的品牌，那么市售網絡攝像機中是否存在這樣的風險？

技術人員隨機挑選了海康、小蟻等多個品牌的網絡攝像機，為其設定了IP地址，并用上述步驟進行實驗。

實驗過程中，技術人員發現海康攝像機需要輸入用戶設定的用戶名和密碼才能進行實時畫面的調取。而如果想破解用戶名和密碼則需要其他的攻擊手段，非常繁瑣。且一旦用戶更換了密碼，之前的破解工作也就白費了。

小蟻等網絡攝像機防范手段更加復雜，在測試時，技術人員無法利用網帖中提到的漏洞對其進行攻擊。

技術解讀

漏洞低級解決簡單

只需設置安全賬戶

早在2007年就有利用漏洞控制攝像機造成泄密的報道。當時黑客主要是通過攻擊電腦系統，獲得用戶主機的控制權，再打開探頭的。而隨著互聯網安全技術的發展，這樣的攻擊逐漸減少。取而代之的是對直接連在網絡上的網絡攝像機進行攻擊。

據介紹，此次發現的漏洞比較低級，在國內涉及的大多是小品牌，甚至“山寨”廠商。

技術人員指出，此次發現的漏洞比較低級，其可泄露的信息除了實時畫面外，別的就很少了。如果想了解用戶的住址、攝像機型號甚至進行定點攻擊也是非常困難的。

這種漏洞不用太復雜的防御手段即可避免。廠商只需要求用戶設置安全賬戶就可以對這樣的漏洞起到一定的防范作用。

安全提示

及時升級固件

不使用時遮蔽攝像頭

安全技術人員提示，購買網絡攝像機一定要選擇正規的大品牌，不要圖便宜而造成更大的損失。同時，要提高自身的安全防范意識，記得定期升級安全固件，并時常更換密碼。而如果用戶在家或是暫不使用，可以考慮將攝像頭用膠布等進行遮擋或封閉，即使被破解，也讓對方無法觀看。