12月27日,北京華順信安科技有限公司與白帽匯安全研究院聯合發佈《網絡空間測繪系列 ——2018年攝像頭安全報告》(簡稱《攝像頭安全報告》)顯示,自2017年起攝像頭漏洞呈現爆發式增長。截至2018年11月,攝像頭漏洞有221條,較2017全年的186條相比,增長19%。攝像頭對公網開放的安全問題已是全世界共同面臨的重要挑戰,我國對公網開放訪問權限的攝像頭設備佔全球的17%,其中東北最為嚴重,佔全國三成以上。
安全問題愈發嚴重
根據FOFA(網絡空間安全搜索引擎)統數據顯示,截至11月底,全球共有228個國家8063個城市中的2635萬攝像頭設備對公網開放訪問權限。其中,越南位居第一,共有205萬,約佔20%;美國第二,共有183萬,約佔18%;第三是中國,共有165萬,約佔17%。城市方面,墨西哥最多,共有7.5萬臺設備,約佔15%;中國大連市位居第二,共有7.3萬臺設備,約佔14%;紐約排第三,共有6.7萬臺,約佔13%。
中國各省攝像頭暴露情況方面,遼寧省暴露最多,共有27萬臺設備,約佔22%;廣東省第二,共有16.3萬臺設備,約佔13%;吉林省第三,共有11.2萬臺設備,約佔9%。城市方面,我國385個城市實現了攝像頭設備的網絡公開。其中,大連市最多,共有7.3萬臺設備,約佔18%;臺北第二,共有4.7萬臺設備,約佔11%;第三是北京,共有4.5萬臺設備,約佔11%。
北京華順信安科技有限公司CEO趙武表示,正常的攝像頭的管理都處於內部網絡中,外部無法訪問,但仍有很多因素導致攝像頭對外部開放,並暴露在互聯網中。“一是由於跨地域的攝像頭管理需要開放攝像,如通過路由將攝像頭的相關端口映射到外網中;二是用戶僅考慮可用性,由於錯誤的配置導致直接外網可以訪問。”
這些攝像頭直接公開在互聯網中,任何連接到互聯網的人都可以訪問到這些攝像頭的設備。對外暴露的攝像頭存在巨大的潛在風險,惡意的攻擊者通過漏洞或弱口令等即可實現惡意的攻擊。《攝像頭安全報告》顯示, 攝像頭設備存在的漏洞類型包括權限繞過、拒絕服務、信息洩漏、跨站、命令執行、緩衝區溢出、SQL 注入、弱口令、設計缺陷等。其中,權限繞過、信息洩漏、代碼執行等類型漏洞數量佔比最高,分別佔所有漏洞類型總數的23%、15%和10%。
近兩年諸多攝像頭嚴重漏洞曝出事件頻發。2018年6月,Axis攝像頭被ADOO安全公司發現其設備的7個安全漏洞,攻擊者可以利用這些漏洞以root權限執行任意命令。8月,Swann攝像頭被發現存在訪問控制缺陷,該漏洞可以將一個攝像頭的視頻流切換到另一個攝像頭上,攻擊者可以利用該漏洞訪問任意攝像頭。
需要多方合力
隨著“互聯網+”模式的興起,物聯網呈現出爆發式增長和普遍化發展的趨勢。如果說在互聯網時代,硬件和系統漏洞帶來的危害尚侷限於用戶,那麼在萬物互聯時代,由其衍生的危害將拓展至人身安全。
物聯網中攝像頭的應用已經遍及城市交通、企業內部、醫院、銀行、家庭等生產生活的各個場景。隨著攝像頭使用量的不斷增加和應用場景的不斷拓展,攝像頭安全之於社會生活、生產的重要性日趨顯著。但值得注意的是,攝像頭應用已形成一條集黑客破解、買賣、偷窺於一體的視頻攝像頭網絡黑產鏈。
趙武表示,攝像頭危害較大的原因一方面是源於設備數量眾多,安全性被使用者忽視。廉價的攝像頭、監視器等物聯網應用產品大量出現,但這些產品往往沒有采取任何安全措施,黑客能夠輕易地控制它們;另一方面,隨著物聯網設備的增多,硬件難以更新。未來殭屍網絡的規模會越來越大,攻擊能力越來越強。
華順信安安全總監吳明介紹,根據高盛等市場研究公司日前發佈的數據顯示,截止到2017年,世界上的攝像頭總數約為14萬億個;到2022年,全球攝像頭總量將增至44萬億個。而需注意的是,對於手機來說,假設全球每人都使用兩臺,全球手機數目也不過150億臺左右。“這一數量等級的差距,決定了攝像頭的監管和使用很難做到面面俱到,也不可能像手機一樣做到一對一監管。”
趙武認為,攝像頭設備應用的特點決定攝像頭的安全問題應將國家、企業和個人都納入在內;應從標準制定、資產排查、風險監測、漏洞修復等多個方面提高攝像頭的安全性。
閱讀更多 財經透世界 的文章
