摄像头破解软件黑产被摧毁,但你还要知道这些才能放心
最近,北京警方花了19天,摧毁了中国首例网上传播家庭摄像头破解软件的犯罪链条,抓获涉案人员 24 名。
事情要追溯到 6月18日,央视新闻频道称,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,有大量人员非法购买后利用摄像头进行偷窥,严重侵犯了公民个人隐私。
央视新闻频道还称,大量家庭摄像头存在的安全问题,只需要通过特定的扫描软件,就能够攻破摄像头的IP 地址,然后将被破解的 IP 地址输入播放软件,就可以实现偷窥。
这时,大批吃瓜群众才知道,原来自己在摄像头前的一举一动,很可能成了他人眼中直播真人秀。
当房间空无一人的时候,你有没有试过自己一个人尬舞?有没有对着镜子搔首弄姿,沉浸于自己的美貌?又或者,打开某个小草网站,开始做头部以下不可描述的事情?
虽然,你只愿享受这片刻的欢愉,但是,很有可能,“You are being watched”。
国家互联网应急中心高级工程师高胜称,这些软件主要是依靠扫描器,用一些弱口令密码,做大范围的扫描。随后,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测,仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。
日前,质检总局发布摄像头抽样检测报告,结果显示 40 批次产品中高达32批次存在安全风险。
那么,为何这些网络摄像头这么容易被攻破?
造成摄像头的信息安全风险的原因有很多,但是多存在于数据传输、弱密码口令、操作系统/固件更新、敏感信息的本地存储、身份鉴别、云平台等环节。
下面,笔者带你一一解析:
1.数据传输
根据质检总局的调查,28 批次样品数据传输未加密。如果在数据传输的过程中进行加密,即使黑客拦截相应的信息也只能看到代码,看不到实际摄像头拍下来的影像。
当然,除了对传输过程进行加密,对录像的本地存储数据进行加密也很重要。
2.弱口令 / 密码
在该报告中,还有 20 批次存在弱口令,或者限制用户密码复杂度的问题。
有些产品生产出来以后,会设置非常简单密码,比如说“00000”、“123456”等,很容易被黑客破解。如果摄像头出厂前设定大小写、以及数字和字幕结合的密码设定,会安全很多。
2016 年 10 月,美国互联网遭遇前所未有的黑客攻击,几乎半个美国的网络陷入瘫痪。这其中,某款国产的网络摄像头的就因为存在弱密码口令漏洞,而遭受黑客攻击,最后不得不召回部分产品。
3.操作系统 / 固件更新
还有 10 批次样品在操作系统更新有问题:未提供固件更新修复功能或者固件更新方式不安全。
其实,这个锅还得中小型厂家背,因为部分厂家不具备在线升级能力,还在使用 U盘,硬盘刷机物理方式升级,根本无法处理应急安全漏洞的问题。因此,厂商需要完整 OTA 在线升级方案,及时修补安全漏洞。
4.敏感信息的本地存储
16 批次样品的密码等敏感数据在本地存储时未采取加密保护措施。各个厂家对本地存储的理解不一样,小厂家将本地存储认定为 用户自己的行为——你已经存储到本地,用户自己保存就好,不会采取任何安全防护措施。
最好的做法还是本地以及云端都采用加密存储的方式。
5.身份鉴别
18 批次样品在身份鉴别方面未提供登录失败处理功能。
有很多厂商在产品生产后没有对反复登录频次进行限制,以至很多黑客可以反复尝试密码,用用户信息或者其他密码尝试一直到攻破摄像机。
6.云平台
10 批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。
由于很多厂商都不具备自己的云服务能力,往往会跟一些性价比较高的第三方云服务提供商合作。一旦云服务商没有处理好安全问题,被黑客攻破后,所有跟他合作的摄像头厂商受到影响,造成用户信息泄露。
一粒老鼠屎,打坏了一锅油。
安全的做法是:对每一个用户、每一台设备都设立独立密钥。
上古卷轴5天际高保真mod公布改善建模国外ModderldquoLucidAPsrdquo最近为上古卷轴5天际(TheElderScrollsVSkyrim)放出了一个有趣的mod,这个mod名为ldquoHighPo
堡垒之夜玩家踏火箭弹空横跨全图让人看呆堡垒之夜游戏的自由性非常不错,因此玩家们也能玩出不少ldquo骚操作rdquo。最近,玩家NoahJ456就完成了一次脚踏制导火箭弹,从空中横空横跨全图的体验,连他自己在完成之后也
喜加一HB商店任意价格可获得破门而入一份现在,在HB(HumbleBundle)商店中支付任意价格并输入获取邮箱即可获得破门而入(DoorKickers)的Steam激活码一个,可购买多份,支持Paypal付款。(最低可
新战神不叫战神4?官方因为神仙班底换了在谈及战神新作这款游戏的名称时很令人苦恼,它没有任何副标题,单纯念ldquo战神rdquo又很容易与初代混淆,于是很多人都愿意称其为战神4。关于这一点很多人也纳闷,为何明明是正统续
Avast安全浏览器强力广告屏蔽一键下载视频在AVTest的历次评比中,捷克的AVAST(爱维士)都名列前茅,而且它本身也是老牌知名的免费杀软。同时在2016年和2017年,Avast先后收购AVG和Piriform(CCl
Dota2DSPL次级联赛疑似假赛互飙拙劣演技3月底的时候,DPL中国DOTA2职业联赛?甲级联赛上爆出假赛丑闻,当时参与假赛的两支队伍被官方进行了处罚。而时间过去还不到半个月,就在今天下午的DSPL次级联赛上,再次出现了疑似
生化危机2重制版或鬼泣5?有大动作Capcom第一开发部的官推在昨日晒出了一张制作组的聚餐合照,推文中透露这群人正在密谋要搞些什么大事情,引发了玩家的猜想。负责生化危机鬼泣大神系列开发的Capcom第一开发部在推上
蜘蛛侠还有各种小道具手雷能喷射白色蛛网蜘蛛侠制作方Insomniac的几位主创接受了GameInformer的采访,虽然目前采访的重点内容还未公布,但在他们公布的采访预告里还是为我们透露了一些新内容,例如蜘蛛侠在对付敌
戴尔发布会用吃鸡外挂宣传可运行更多插件近日,在北京举行的英特尔第八代处理器新品发布会上,戴尔发言人Sally在宣传自家产品时竟举出了绝地求生ldquo插件rdquo的例子。Sally称中国用户是如何利用ldquo插件r
英雄联盟戏命师烬史上最高AD大龙也扛不住烬本身作为LOL里高面板AD的代表,在有了新版羊刀的百分比AD加成,以及ldquo风暴聚集rdquo符文随游戏时间增加法强或攻击力效果的增益下,AD经常高到离谱。近日Youtube
上古卷轴5超强高清MOD土豆发芽都丝毫毕现MOD作者LucidAPs发布了自己制作的上古卷轴5天际重制版高清MODmdashmdashHighPolyProject。这款持续更新的MOD通过更高清的像素,UV编辑或是干脆替