360攝像頭會被查看嗎?別鬧了,層層防護(hù)讓黑客看了想哭

  • 人閱讀
  • 2020-08-10 18:31:44

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

現(xiàn)階段,攝像頭已經(jīng)廣泛應(yīng)用于生活的方方面面,在帶給我們便利的同時,也讓不法分子發(fā)現(xiàn)了可乘之機(jī)。今年6月,澎湃新聞連發(fā)三篇報道,揭示了偷拍相關(guān)黑色產(chǎn)業(yè)鏈,在此之前,央視也報道了大量攝像機(jī)被破解,IP地址被公開叫賣的問題。在近日舉辦的ISC 2020第八屆互聯(lián)網(wǎng)安全大會上,攝像頭安全問題同樣引起了與會各方的高度重視,360智慧生活集團(tuán)軟件中臺部總經(jīng)理孫浩還為此發(fā)表了專題演講。

360攝像頭會被查看嗎?別鬧了,層層防護(hù)讓黑客看了想哭

統(tǒng)計數(shù)據(jù)顯示,2019年新增暴露的攝像機(jī)IP數(shù)量已經(jīng)超過1500萬——這還僅僅是部分掃描數(shù)據(jù)。從變化趨勢來看,近兩年的攝像機(jī)公網(wǎng)暴露情況是直線增長的,隨著C端智能攝像機(jī)的進(jìn)一步普及,這個數(shù)據(jù)還將維持高增長趨勢??梢哉f,攝像機(jī)的安全問題已經(jīng)得到了整個社會的廣泛關(guān)注。

孫浩表示,圍繞攝像頭常見的安全漏洞可以分為三大類:第一類是命令注入漏洞,可以借此執(zhí)行系統(tǒng)命令或者運行任意程序,2016年10月,美國東海岸甚至因此造成了持續(xù)數(shù)小時的大規(guī)模斷網(wǎng);第二類是授權(quán)問題,可以訪問未授權(quán)或者通過某個隱藏入口直接訪問對應(yīng)的設(shè)備;第三類是服務(wù)器存在訪問控制缺陷,例如2018年4月HK云服務(wù)器發(fā)現(xiàn)訪問控制缺陷,任意人可以通過該漏洞實現(xiàn)查看攝像、回放錄像、添加賬戶共享等操作。

其中,影響最大的安全漏洞還要數(shù)弱密碼問題。由于弱密碼這類漏洞的破解技術(shù)含量非常低,這類的網(wǎng)絡(luò)攻擊已經(jīng)大規(guī)模的工具化、產(chǎn)業(yè)化。售賣破解工具、售賣已經(jīng)破解的IP地址和密碼、將已經(jīng)破解的設(shè)備做成一個可以在線查看的APP,諸如此類違法黑產(chǎn)行為,甚至已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈。在此基礎(chǔ)上,攝像機(jī)安全漏洞,尤其是弱密碼帶來的風(fēng)險,已經(jīng)愈演愈烈。

為了針對性地解決這些問題,360會在每一款新硬件、每一個固件在發(fā)版前,按照流程做安全滲透審查。目前,360的安全滲透審查大致分為五個方面:首先是硬件安全,查看有無遺留的物理接口——這里主要是調(diào)試接口、產(chǎn)測接口,能不能防物理攻擊,比如之前門鎖的小黑盒,需要能防電磁沖擊,做好屏蔽和ESD防護(hù);再者是系統(tǒng)安全,查看有無危險的端口遺留,OTA更新對固件有無校驗,有無系統(tǒng)漏洞等;其次是應(yīng)用層安全,查看應(yīng)用安裝、運行通信有無風(fēng)險;然后是通信安全,主要針對各種協(xié)議進(jìn)行分析,檢查有無身份驗證和數(shù)據(jù)傳輸問題;最后是云端安全,主要檢查有沒有遭受注入攻擊的風(fēng)險,確保認(rèn)證安全和業(yè)務(wù)安全。

與此同時,為了盡可能地保障設(shè)備被合法使用,360還實施了以下舉措:一是針對家人分享功能,設(shè)定10人的分享上限,超出需求的特殊場景需要人工確認(rèn)審批;對頻繁分享、取消的異常行為也進(jìn)行了識別,做二次驗證或者禁止。另外,為了避免賬號共用,目前360計劃借鑒金融平臺的設(shè)備安全認(rèn)證能力,打通內(nèi)部數(shù)據(jù),完善賬號的異地登錄、可信設(shè)備管理等功能。

“物聯(lián)網(wǎng)安全是一種能力,更是一種態(tài)度,這不僅需要良好的研發(fā)規(guī)范和安審流程做保障,更需要與使用場景進(jìn)行深入結(jié)合。”正如孫浩在ISC 2020中所說的那樣,類似攝像頭這種智能硬件的安全,需要廠商通過高度的責(zé)任心和嚴(yán)謹(jǐn)?shù)难邪l(fā)流程予以保障,唯有如此才能讓用戶買得放心,用得安心。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )