攝像頭漏洞正在嚴重威脅人們的安全。近日，北京華順信安科技有限公司與白帽匯安全研究院聯合發布《網絡空間測繪系列——2018年攝像頭安全報告》（以下簡稱報告）。該報告顯示，攝像頭對公網開放的安全問題已是全世界共同面臨的一大挑戰。

　　當前，攝像頭的應用已經遍及城市交通、企業內部、醫院、銀行、家庭等生產生活的各個場景。隨著攝像頭使用量不斷增加和應用場景不斷拓展，攝像頭安全對於生產、生活的重要性日趨顯著。但值得注意的是，攝像頭應用已形成了一條集黑客破解、買賣、偷窺於一體的視頻攝像頭網絡黑色產業鏈。

　　北京華順信安科技有限公司CEO趙武表示，攝像頭危害較大的原因，一方面是設備數量眾多，安全性被使用者忽視。廉價的攝像頭、監視器等物聯網應用產品大量出現，但這些產品往往沒有採取任何安全措施，黑客能夠輕易地控制它們。另一方面，隨著物聯網設備的增多，硬件難以更新，未來僵尸網絡的規模會越來越大，攻擊能力越來越強。

　　近兩年，攝像頭嚴重漏洞事件頻發。2018年6月份，Axis攝像頭被ADOO安全公司發現存在7個安全漏洞，攻擊者可以利用這些漏洞以root權限執行任意命令。8月份，Swann攝像頭被發現存在訪問控制缺陷，該漏洞可以將一個攝像頭的視頻流切換到另一個攝像頭上，攻擊者可以利用該漏洞訪問任意攝像頭。

　　根據高盛等市場研究公司日前發布的數據，截至2017年，世界上的攝像頭總數約為14萬億個。到2022年，全球攝像頭總量將增至44萬億個。需注意的是，對手機來說，假設全球每人都使用兩台，全球手機數目也不過150億台左右。

　　“這一數量等級的差距，決定了攝像頭的監管和使用很難做到面面俱到，也不可能像手機一樣做到一對一監管。”華順信安安全總監吳明說。

　　事實上，隨著智能電器快速發展，攝像頭在數量快速增長的同時，漏洞也快速升級。報告顯示，自2017年起攝像頭漏洞呈現爆發式增長。截至2018年11月份，攝像頭漏洞有221條，較2017年的186條增長高達19%。

　　具體來看，攝像頭設備存在的漏洞類型包括權限繞過、拒絕服務、信息泄漏、跨站、命令執行、緩沖區溢出、SQL 注入、弱口令、設計缺陷等。其中，權限繞過、信息泄漏、代碼執行等類型漏洞數量佔比最高，分別佔所有漏洞類型總數的23%、15%和10%。

　　吳明說，代碼執行漏洞的危害與影響最大，惡意攻擊者可以通過該漏洞執行植入僵尸程序，達到完整控制該程序的目的。此外，攝像頭設備授權驗証將直接導致用戶隱私數據遭到泄漏。“值得關注的是，硬編碼、默認密碼、隱藏后門等佔比 6%，此類漏洞可能是廠商或廠商被攻擊者入侵而在設備中制造的后門。”

　　“在目前攝像頭安全風險較大的情況下，華順信安希望通過網絡空間測繪技術，從暴露情況、漏洞、隱患等多方面對攝像頭應用現存的安全威脅和相關黑色產業攻擊行為深度剖析，並可以利用網絡空間測繪技術對攝像頭實行安全排查，搭建安全防護體系，從根源上促使攝像頭使用生態實現優化。”趙武表示。

　　專家建議，攝像頭設備應用的特點決定攝像頭的安全問題應將國家、企業和個人都納入其中﹔應從標准制定、資產排查、風險監測、漏洞修復等多個方面提高攝像頭的安全性，網絡空間測繪系統將成為此過程中的重要技術力量和推動攝像頭安全發展的技術突破口。

分享讓更多人看到