苹果新机的发布让世人感慨:刷脸时代已经到来。无论是刷脸认证,还是视频监控,都离不开摄像头。互联网时代,摄像头还安全吗?本期“好奇心”关注这个热点话题。
实验时间:2017年9月13日
实验地点:西安四叶草信息技术有限公司
实验人员:CloverSec实验室安全研究员余俊峰、王明星,华商报记者
实验顾问:四叶草公司CEO马坤
一、相关新闻
卧室摄像头IP地址被公开叫卖
数千万摄像头存在被攻击风险
“对着卧室的摄像头IP地址10元一个,拍摄到激情画面的20元一个。”原本用来看护家里老人孩子或用作防盗的摄像头,竟然被不法分子用于“窥私”在网上公开叫卖。
据新华社报道,北京、浙江等警方接连破获黑客非法入侵居民家用摄像头案件。7月14日,北京警方破获一起网上传播家庭摄像头破解软件案,抓获涉案人员24名。犯罪嫌疑人交代,他们非法获取某品牌摄像头破解软件,利用黑客手段破解网络摄像头IP,然后在QQ群中出售。
据了解,目前我国家用摄像头保有量为4000万至5000万个,其中一些存在被攻击风险。在一些QQ群和百度贴吧,有人公然售卖破解摄像头软件,分享他人家庭私密影像。新华社记者在调查中发现,只需几十元即可买到摄像头查看软件,销售者还承诺“包教会”。
二、实验验证
实验1:监控摄像头泄密 通过电脑可看到国外商超收银台
四叶草安全研究员余俊峰介绍,以前市民常见的是局域网摄像头,这些摄像头一般用在酒店、单位、小区等的楼宇和院落内外当做安防设备,一般不连接外网,所拍摄的视频一般记录在本地硬盘。现在,随着互联网技术的发展和物联网概念的宣传推广,网络摄像头已进入不少市民的家庭。和局域网摄像头相比,互联网摄像头更便于远程监控和随时随地查看。为研究互联网摄像头的安全性,他注意过一款软件。该软件可扫描指定IP地址段的网络摄像头和路由器,而且会尝试破解用户名、密码。
他打开这个程序以前的扫描结果文件,文件中有很多互联网摄像头IP地址。每一个IP就对应着某处的一个摄像头。华商报记者注意到,这些IP地址的用户名,大多数是默认的“admin”,密码则是初始密码居多,有的干脆是空的。
打开其中一个摄像头IP,输入破解出来的用户名和密码后,摄像头的监控画面赫然出现在眼前。画面是一棵树,在风中摇曳。做实验时是上午11时许,但画面看起来却是凌晨5时许。从IP地址和时区来看,应该是欧洲某国。打开另一个IP,监控画面显示的是一个商店或超市,摄像头似乎正对着收银台。
从电脑显示界面来看,不仅可查看监控画面,还可以对摄像头进行后台设置。也就是说,网络攻击者通过设置,完全有可能将该摄像头的控制权夺为己有。
