网络摄像头近些年被广泛应用于家庭看护、安全监控、远程协作等场景。由于网络摄像头需依托互联网实现实时监控、云端存储等功能,如果安全防护不足,可能成为不法分子攻击目标。
近期,北京市互联网信息办公室聚焦网络摄像头隐私泄露风险,开展了专项远程技术检测,仅未授权访问漏洞类问题就发现200余个,无需身份验证就可以获取摄像头控制权限,查看实时监控画面。检测中还发现,集成大量摄像头设备的管理平台问题尤为突出,经对某监控系统综合管理平台开展检测,该平台全国共625个互联网资产中,有219个存在未授权访问漏洞,问题检出率高达35%。
问题1
设备存在安全缺陷 厂家未及时更新固件
根据发现的安全隐患,北京市网信办梳理了三类主要问题:设备自身安全缺陷、用户安全意识不足、监控平台管理不到位。
在远程技术检测中,测试人员发现某网络摄像头设备由于未及时更新固件,设备版本老旧,存在未授权访问漏洞。测试人员可以通过漏洞利用对摄像头配置文件进行解码,进一步获取账号和密码信息,登录查看摄像头实时画面,实现对摄像头的远程控制。
北京市网信办技术人员表示,摄像头厂商应该及时发现设备安全缺陷并推送固件更新。也有部分用户收到推送后没有及时更新,技术人员建议,厂商在推送时可在醒目位置提醒用户存在的风险,让用户了解更新固件的必要性。
问题2
用户安全意识不足 使用默认用户名、密码
通过对某家庭用户的网络摄像头远程检测,测试人员发现用户开启了RTSP协议,但未设置身份验证措施。没有这层保护,测试人员可直接通过视频工具连接访问摄像头,获取家庭实时监控图像。测试人员还发现,一部分老款设备仍在使用出厂默认口令,用户名、密码防护能力非常弱,攻击者可使用默认口令登录,查看摄像头实时画面并远程控制。
北京市网信办技术人员解释,RTSP是网络摄像头普遍支持的基本通信协议,常用于图像数据传输,开启该协议后可将实时视频流传输到监控中心或客户端,因此身份验证非常必要。技术人员建议,摄像头厂商可以要求用户在设置身份验证后,方可开启RTSP协议。
技术人员告诉记者,当前随着管理部门的督促力度和厂商的安全意识提升,市场上销售的网络摄像头大多需要先设置强口令方能使用。对于还在使用默认用户名、密码的老款设备,他建议用户尽快更改。
问题3
监控平台权限管理不到位 可控制学校全部摄像头
测试人员发现,某学校监控系统综合管理平台存在未授权访问漏洞,通过漏洞可获取平台用户名、密码,登录管理平台获取管理员权限,控制平台内45个用户共281个摄像头,可任意更改平台相关配置,获取所有摄像头监控图像。
北京市网信办网络安全协调处孟翔告诉记者,上述摄像头可以查看宿舍、后厨、餐厅甚至是校领导办公室。综合视频监控管理平台在学校、银行、企业使用较多,往往同时连接管理大量网络摄像头设备。通过未授权访问漏洞,攻击者不仅能查看实时监控,还可利用管理员权限,更大程度上控制摄像头,埋下较大安全隐患。
提示
不使用时可遮挡镜头或断电
“整体来看,网络摄像头安全形势逐渐向好,但未授权访问、默认口令、弱口令等安全风险仍不在少数,且大多数分布于版本老旧的设备或系统内,存在隐私泄露风险。”孟翔介绍。
网络安全公司BitSight此前发表的研究报告显示,全球有超过4万台联网监控摄像头在未设密码的情况下向互联网公开传输实时画面,极大暴露了家庭与办公隐私,成为攻击者眼中的“偷窥利器”。研究人员称,地下论坛已有大量黑客设法搜集这些摄像头IP信息,并将其打包出售。
针对发现的问题,北京市网信办指出,网络摄像头厂商应对密码强度做明确要求,强化端到端加密传输;明确告知用户数据存储位置及用途,避免过度收集;建立完善的漏洞管理体系和固件更新推送渠道,及时推送并提醒用户更新升级。
同时,北京市网信办提醒用户加强个人隐私保护意识,通过正规渠道购买网络摄像头,避免购买“三无”产品;注意摄像头安装位置,不使用时可遮挡镜头或断电;不随意共享设备权限,优先选择本地存储模式;加强密码管理,避免使用默认口令或弱口令。(记者 行海洋)
网络摄像头近些年被广泛应用于家庭看护、安全监控、远程协作等场景。由于网络摄像头需依托互联网实现实时监控、云端存储等功能,如果安全防护不足,可能成为不法分子攻击目标。
近期,北京市互联网信息办公室聚焦网络摄像头隐私泄露风险,开展了专项远程技术检测,仅未授权访问漏洞类问题就发现200余个,无需身份验证就可以获取摄像头控制权限,查看实时监控画面。检测中还发现,集成大量摄像头设备的管理平台问题尤为突出,经对某监控系统综合管理平台开展检测,该平台全国共625个互联网资产中,有219个存在未授权访问漏洞,问题检出率高达35%。
问题1
设备存在安全缺陷 厂家未及时更新固件
根据发现的安全隐患,北京市网信办梳理了三类主要问题:设备自身安全缺陷、用户安全意识不足、监控平台管理不到位。
在远程技术检测中,测试人员发现某网络摄像头设备由于未及时更新固件,设备版本老旧,存在未授权访问漏洞。测试人员可以通过漏洞利用对摄像头配置文件进行解码,进一步获取账号和密码信息,登录查看摄像头实时画面,实现对摄像头的远程控制。
北京市网信办技术人员表示,摄像头厂商应该及时发现设备安全缺陷并推送固件更新。也有部分用户收到推送后没有及时更新,技术人员建议,厂商在推送时可在醒目位置提醒用户存在的风险,让用户了解更新固件的必要性。
问题2
用户安全意识不足 使用默认用户名、密码
通过对某家庭用户的网络摄像头远程检测,测试人员发现用户开启了RTSP协议,但未设置身份验证措施。没有这层保护,测试人员可直接通过视频工具连接访问摄像头,获取家庭实时监控图像。测试人员还发现,一部分老款设备仍在使用出厂默认口令,用户名、密码防护能力非常弱,攻击者可使用默认口令登录,查看摄像头实时画面并远程控制。
北京市网信办技术人员解释,RTSP是网络摄像头普遍支持的基本通信协议,常用于图像数据传输,开启该协议后可将实时视频流传输到监控中心或客户端,因此身份验证非常必要。技术人员建议,摄像头厂商可以要求用户在设置身份验证后,方可开启RTSP协议。
技术人员告诉记者,当前随着管理部门的督促力度和厂商的安全意识提升,市场上销售的网络摄像头大多需要先设置强口令方能使用。对于还在使用默认用户名、密码的老款设备,他建议用户尽快更改。
问题3
监控平台权限管理不到位 可控制学校全部摄像头
测试人员发现,某学校监控系统综合管理平台存在未授权访问漏洞,通过漏洞可获取平台用户名、密码,登录管理平台获取管理员权限,控制平台内45个用户共281个摄像头,可任意更改平台相关配置,获取所有摄像头监控图像。
北京市网信办网络安全协调处孟翔告诉记者,上述摄像头可以查看宿舍、后厨、餐厅甚至是校领导办公室。综合视频监控管理平台在学校、银行、企业使用较多,往往同时连接管理大量网络摄像头设备。通过未授权访问漏洞,攻击者不仅能查看实时监控,还可利用管理员权限,更大程度上控制摄像头,埋下较大安全隐患。
提示
不使用时可遮挡镜头或断电
“整体来看,网络摄像头安全形势逐渐向好,但未授权访问、默认口令、弱口令等安全风险仍不在少数,且大多数分布于版本老旧的设备或系统内,存在隐私泄露风险。”孟翔介绍。
网络安全公司BitSight此前发表的研究报告显示,全球有超过4万台联网监控摄像头在未设密码的情况下向互联网公开传输实时画面,极大暴露了家庭与办公隐私,成为攻击者眼中的“偷窥利器”。研究人员称,地下论坛已有大量黑客设法搜集这些摄像头IP信息,并将其打包出售。
针对发现的问题,北京市网信办指出,网络摄像头厂商应对密码强度做明确要求,强化端到端加密传输;明确告知用户数据存储位置及用途,避免过度收集;建立完善的漏洞管理体系和固件更新推送渠道,及时推送并提醒用户更新升级。
同时,北京市网信办提醒用户加强个人隐私保护意识,通过正规渠道购买网络摄像头,避免购买“三无”产品;注意摄像头安装位置,不使用时可遮挡镜头或断电;不随意共享设备权限,优先选择本地存储模式;加强密码管理,避免使用默认口令或弱口令。(记者 行海洋)
本文链接:网络摄像头设备避免使用默认口令http://www.sushuapos.com/show-2-12879-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
上一篇: 市民应警惕网络摄像头泄露隐私
下一篇: 汽车产业与具身智能“双向奔赴”