網絡攝像頭近些年被廣泛應用于家庭看護、安全監控、遠程協作等場景。由于網絡攝像頭需依托互聯網實現實時監控、云端存儲等功能,如果安全防護不足,可能成為不法分子攻擊目標。
近期,北京市互聯網信息辦公室聚焦網絡攝像頭隱私泄露風險,開展了專項遠程技術檢測,僅未授權訪問漏洞類問題就發現200余個,無需身份驗證就可以獲取攝像頭控制權限,查看實時監控畫面。檢測中還發現,集成大量攝像頭設備的管理平臺問題尤為突出,經對某監控系統綜合管理平臺開展檢測,該平臺全國共625個互聯網資產中,有219個存在未授權訪問漏洞,問題檢出率高達35%。
問題1
設備存在安全缺陷 廠家未及時更新固件
根據發現的安全隱患,北京市網信辦梳理了三類主要問題:設備自身安全缺陷、用戶安全意識不足、監控平臺管理不到位。
在遠程技術檢測中,測試人員發現某網絡攝像頭設備由于未及時更新固件,設備版本老舊,存在未授權訪問漏洞。測試人員可以通過漏洞利用對攝像頭配置文件進行解碼,進一步獲取賬號和密碼信息,登錄查看攝像頭實時畫面,實現對攝像頭的遠程控制。
北京市網信辦技術人員表示,攝像頭廠商應該及時發現設備安全缺陷并推送固件更新。也有部分用戶收到推送后沒有及時更新,技術人員建議,廠商在推送時可在醒目位置提醒用戶存在的風險,讓用戶了解更新固件的必要性。
問題2
用戶安全意識不足 使用默認用戶名、密碼
通過對某家庭用戶的網絡攝像頭遠程檢測,測試人員發現用戶開啟了RTSP協議,但未設置身份驗證措施。沒有這層保護,測試人員可直接通過視頻工具連接訪問攝像頭,獲取家庭實時監控圖像。測試人員還發現,一部分老款設備仍在使用出廠默認口令,用戶名、密碼防護能力非常弱,攻擊者可使用默認口令登錄,查看攝像頭實時畫面并遠程控制。
北京市網信辦技術人員解釋,RTSP是網絡攝像頭普遍支持的基本通信協議,常用于圖像數據傳輸,開啟該協議后可將實時視頻流傳輸到監控中心或客戶端,因此身份驗證非常必要。技術人員建議,攝像頭廠商可以要求用戶在設置身份驗證后,方可開啟RTSP協議。
技術人員告訴記者,當前隨著管理部門的督促力度和廠商的安全意識提升,市場上銷售的網絡攝像頭大多需要先設置強口令方能使用。對于還在使用默認用戶名、密碼的老款設備,他建議用戶盡快更改。
問題3
監控平臺權限管理不到位 可控制學校全部攝像頭
測試人員發現,某學校監控系統綜合管理平臺存在未授權訪問漏洞,通過漏洞可獲取平臺用戶名、密碼,登錄管理平臺獲取管理員權限,控制平臺內45個用戶共281個攝像頭,可任意更改平臺相關配置,獲取所有攝像頭監控圖像。
北京市網信辦網絡安全協調處孟翔告訴記者,上述攝像頭可以查看宿舍、后廚、餐廳甚至是校領導辦公室。綜合視頻監控管理平臺在學校、銀行、企業使用較多,往往同時連接管理大量網絡攝像頭設備。通過未授權訪問漏洞,攻擊者不僅能查看實時監控,還可利用管理員權限,更大程度上控制攝像頭,埋下較大安全隱患。
提示
不使用時可遮擋鏡頭或斷電
“整體來看,網絡攝像頭安全形勢逐漸向好,但未授權訪問、默認口令、弱口令等安全風險仍不在少數,且大多數分布于版本老舊的設備或系統內,存在隱私泄露風險。”孟翔介紹。
網絡安全公司BitSight此前發表的研究報告顯示,全球有超過4萬臺聯網監控攝像頭在未設密碼的情況下向互聯網公開傳輸實時畫面,極大暴露了家庭與辦公隱私,成為攻擊者眼中的“偷窺利器”。研究人員稱,地下論壇已有大量黑客設法搜集這些攝像頭IP信息,并將其打包出售。
針對發現的問題,北京市網信辦指出,網絡攝像頭廠商應對密碼強度做明確要求,強化端到端加密傳輸;明確告知用戶數據存儲位置及用途,避免過度收集;建立完善的漏洞管理體系和固件更新推送渠道,及時推送并提醒用戶更新升級。
同時,北京市網信辦提醒用戶加強個人隱私保護意識,通過正規渠道購買網絡攝像頭,避免購買“三無”產品;注意攝像頭安裝位置,不使用時可遮擋鏡頭或斷電;不隨意共享設備權限,優先選擇本地存儲模式;加強密碼管理,避免使用默認口令或弱口令。(記者 行海洋)
網絡攝像頭近些年被廣泛應用于家庭看護、安全監控、遠程協作等場景。由于網絡攝像頭需依托互聯網實現實時監控、云端存儲等功能,如果安全防護不足,可能成為不法分子攻擊目標。
近期,北京市互聯網信息辦公室聚焦網絡攝像頭隱私泄露風險,開展了專項遠程技術檢測,僅未授權訪問漏洞類問題就發現200余個,無需身份驗證就可以獲取攝像頭控制權限,查看實時監控畫面。檢測中還發現,集成大量攝像頭設備的管理平臺問題尤為突出,經對某監控系統綜合管理平臺開展檢測,該平臺全國共625個互聯網資產中,有219個存在未授權訪問漏洞,問題檢出率高達35%。
問題1
設備存在安全缺陷 廠家未及時更新固件
根據發現的安全隱患,北京市網信辦梳理了三類主要問題:設備自身安全缺陷、用戶安全意識不足、監控平臺管理不到位。
在遠程技術檢測中,測試人員發現某網絡攝像頭設備由于未及時更新固件,設備版本老舊,存在未授權訪問漏洞。測試人員可以通過漏洞利用對攝像頭配置文件進行解碼,進一步獲取賬號和密碼信息,登錄查看攝像頭實時畫面,實現對攝像頭的遠程控制。
北京市網信辦技術人員表示,攝像頭廠商應該及時發現設備安全缺陷并推送固件更新。也有部分用戶收到推送后沒有及時更新,技術人員建議,廠商在推送時可在醒目位置提醒用戶存在的風險,讓用戶了解更新固件的必要性。
問題2
用戶安全意識不足 使用默認用戶名、密碼
通過對某家庭用戶的網絡攝像頭遠程檢測,測試人員發現用戶開啟了RTSP協議,但未設置身份驗證措施。沒有這層保護,測試人員可直接通過視頻工具連接訪問攝像頭,獲取家庭實時監控圖像。測試人員還發現,一部分老款設備仍在使用出廠默認口令,用戶名、密碼防護能力非常弱,攻擊者可使用默認口令登錄,查看攝像頭實時畫面并遠程控制。
北京市網信辦技術人員解釋,RTSP是網絡攝像頭普遍支持的基本通信協議,常用于圖像數據傳輸,開啟該協議后可將實時視頻流傳輸到監控中心或客戶端,因此身份驗證非常必要。技術人員建議,攝像頭廠商可以要求用戶在設置身份驗證后,方可開啟RTSP協議。
技術人員告訴記者,當前隨著管理部門的督促力度和廠商的安全意識提升,市場上銷售的網絡攝像頭大多需要先設置強口令方能使用。對于還在使用默認用戶名、密碼的老款設備,他建議用戶盡快更改。
問題3
監控平臺權限管理不到位 可控制學校全部攝像頭
測試人員發現,某學校監控系統綜合管理平臺存在未授權訪問漏洞,通過漏洞可獲取平臺用戶名、密碼,登錄管理平臺獲取管理員權限,控制平臺內45個用戶共281個攝像頭,可任意更改平臺相關配置,獲取所有攝像頭監控圖像。
北京市網信辦網絡安全協調處孟翔告訴記者,上述攝像頭可以查看宿舍、后廚、餐廳甚至是校領導辦公室。綜合視頻監控管理平臺在學校、銀行、企業使用較多,往往同時連接管理大量網絡攝像頭設備。通過未授權訪問漏洞,攻擊者不僅能查看實時監控,還可利用管理員權限,更大程度上控制攝像頭,埋下較大安全隱患。
提示
不使用時可遮擋鏡頭或斷電
“整體來看,網絡攝像頭安全形勢逐漸向好,但未授權訪問、默認口令、弱口令等安全風險仍不在少數,且大多數分布于版本老舊的設備或系統內,存在隱私泄露風險。”孟翔介紹。
網絡安全公司BitSight此前發表的研究報告顯示,全球有超過4萬臺聯網監控攝像頭在未設密碼的情況下向互聯網公開傳輸實時畫面,極大暴露了家庭與辦公隱私,成為攻擊者眼中的“偷窺利器”。研究人員稱,地下論壇已有大量黑客設法搜集這些攝像頭IP信息,并將其打包出售。
針對發現的問題,北京市網信辦指出,網絡攝像頭廠商應對密碼強度做明確要求,強化端到端加密傳輸;明確告知用戶數據存儲位置及用途,避免過度收集;建立完善的漏洞管理體系和固件更新推送渠道,及時推送并提醒用戶更新升級。
同時,北京市網信辦提醒用戶加強個人隱私保護意識,通過正規渠道購買網絡攝像頭,避免購買“三無”產品;注意攝像頭安裝位置,不使用時可遮擋鏡頭或斷電;不隨意共享設備權限,優先選擇本地存儲模式;加強密碼管理,避免使用默認口令或弱口令。(記者 行海洋)
本文鏈接:http://www.gxcspki.cn/news-2-2760-0.html網絡攝像頭設備避免使用默認口令
聲明:本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。
上一篇:首次雙會聯動,2025北京昌平生命科學論壇將于7月5日開幕
下一篇:汽車產業與具身智能“雙向奔赴”
點擊右上角
微信好友
朋友圈
點擊瀏覽器下方“
”分享微信好友Safari瀏覽器請點擊“
”按鈕
點擊右上角
QQ
點擊瀏覽器下方“”分享QQ好友Safari瀏覽器請點擊“”按鈕
