专家解读
黑客利用“弱密码”和系统漏洞
记者带着“刺客”和“夜神”两款程序,分别发送给360公司信息安全部和四川效率源安全技术股份有限公司,相关信息安全专家为记者做出了解读。
“这两款程序主要针对某些摄像头存在通用的弱密码这一安全缺陷,使用通用密码在网络上进行扫描,尝试登录并获取控制权。” 360公司安全专家王阳东为记者介绍。
效率源安全技术股份有限公司信息安全专家黄旭告诉记者,“刺客”是一款针对摄像头系统漏洞的专业黑客程序。它通过扫描指定IP段和指定端口,查找此IP段内有系统漏洞的摄像头。如果找到,程序就会通过系统漏洞绕过账号密码,获得系统内存放的账户文件,得到账户和密码,从而可以在程序中打开和查看视频。由于某些厂家的摄像管理系统存在漏洞,开发程序时留下了安全隐患,导致黑客可以窃取其账号密码,不管多复杂的密码,只要系统存在漏洞,“刺客”都能获取,然后利用“夜神”等查看工具就能打开查看视频。
“夜神”这款程序是一个查看工具,本身并没有破解账户密码的功能。在此软件里输入已经获得摄像头的厂家、型号、IP、账户、密码等进行登录,就能查看视频了。至于账户、密码的获取,除了利用系统漏洞破解程序,比如“刺客”获取外,还可以通过弱口令等方式取得。所谓的弱口令指的是那些容易被人猜测到或容易被破解工具破解的账号密码等,比如未经用户修改的默认账号密码如“Password”、“admin”、“user”等,也有“123”、“11111”、“888888”等简单设置的账号密码,“这些都属于‘弱密码’”。
“山寨摄像头生产厂商从产品设计、开发到管理的安全意识和安全技术水平参差不齐,设备、应用、服务端、客户端都可能存在各种各样的安全漏洞和安全风险。” 王阳东介绍,设备默认口令、数据明文传输、视频存储不规范、用户权限校验不合理、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷等,都是山寨摄像头出现的比较典型的问题,“暴露了产品上面的安全意识淡薄”。
防范
勿买山寨摄像头
设置复杂密码
王阳东和黄旭均向记者介绍,普通消费者选购智能摄像头产品时,最基础且稳妥的方法,是在正规渠道选购大厂商的产品,切勿贪图便宜,购买“三无”或者山寨产品。同时,在使用产品之前,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意防范用户信息可能泄漏的风险。在使用时,应及时修改初始密码,密码需具备一定复杂度并养成定期修改的习惯。
王阳东认为,从目前来看,受到价格、渠道等多重因素的影响,大量山寨机、贴牌机,以及小厂家的摄像头产品正加速流入市场,这类产品往往不具备严格的安防机制,用户隐私风险极高,用户在选购时需严加甄选。“最为保险的办法还是选择安全可靠的正规产品,知名大厂推出的网络摄像头在产品质量,安全防护水平及产品维护售后方面都有保障,可避免不必要的麻烦。”
9月14日下午,记者来到成都市锦江区书院街道派出所进行报案,相关民警受理了此案,接下来将进一步和记者核实相关证据并调查。
警钟
侵犯公民个人信息罪
个人行踪轨迹属于个人信息的核心内容,一旦非法获取、出售或者提供50条以上,就触犯了侵犯公民个人信息罪。而截取家庭摄像头中的性行为进行展示的,制作传播到一定数量,就构成了传播淫秽物品罪;如果传播者因此牟利,并达到一定金额,将构成传播淫秽物品牟利罪。
成都商报记者王拓
