0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

摄像头已成物联网安全和隐私机制的主要问题

如意 来源:计算机与网络安全微信公 作者:计算机与网络安全 2020-12-01 13:55 次阅读

2020 年正在步入尾声。跟随这个无比特殊的年份一同走入历史的,还有一样陪伴了亿万中国家庭,伴随几代人成长的东西——模拟电视。从模拟到数字,是电视技术从黑白到彩色之后的第二次关键升级。

物联网摄像头为了方便管理员远程监控,一般会有公网IP(或端口映射)接入互联网。因此,许多暴露在互联网上的摄像头也成了黑客的目标。2016年10月发生在美国的大面积断网事件,导致美国东海岸地区大面积网络瘫痪,其原因为美国域名解析服务提供公司Dyn当天受到了强力的DDoS攻击。Dyn公司称此次DDoS攻击行为来自一千万个IP源,其中重要的攻击来源于物联网设备。这些设备遭受了一种称为Mirai病毒的入侵攻击,大量设备形成了引发DDoS攻击的僵尸网络。遭受Mirai病毒入侵的物联网设备包括大量网络摄像头,Mirai病毒攻击这些物联网设备的主要手段是通过出厂时的登录用户名和并不复杂的口令猜测。

1、物联网摄像头风险分析

据统计,这些受控物联网摄像头存在的漏洞类型主要包括弱口令类漏洞、越权访问类漏洞、远程代码执行类漏洞以及专用协议远程控制类漏洞。

弱口令类漏洞比较普遍,目前在互联网上还可以查到大量使用初始弱口令的物联网监控设备。这类漏洞通常被认为是容易被别人猜测到或被破解工具破解的口令,此类口令仅包含简单数字和字母,如“123”“abc”等。这些摄像头被大量运用在工厂、商场、企业、写字楼等地方。常见的默认弱口令账户包括admin/12345、admin/admin 等。

越权访问类漏洞是指攻击者能够执行其本身没有资格执行的一些操作,属于“访问控制”的问题。通常情况下,我们使用应用程序提供的功能时,流程是:登录→提交请求→验证权限→数据库查询→返回结果。如果在“验证权限”环节存在缺陷,那么便会导致越权。一种常见的越权情形是:应用程序的开发者安全意识不足,认为通过登录即可验证用户的身份,而对用户登录之后的操作不做进一步的权限验证,进而导致越权问题产生。这类漏洞属于影响范围比较广的安全风险,涉及的对象包括配置文件、内存信息、在线视频流信息等。通过此漏洞,攻击者可以在非管理员权限的情况下访问摄像头产品的用户数据库,提取用户名与哈希密码。攻击者可以利用用户名与哈希密码直接登录该摄像头,从而获得该摄像头的相关权限。

远程代码执行类漏洞产生的原因是开发人员编写源码时没有针对代码中可执行的特殊函数入口进行过滤,导致客户端可以提交恶意构造语句,并交由服务器端执行。命令注入攻击中,Web服务器没有过滤类似system()、eval()、exec()等函数,是该漏洞被攻击成功的最主要原因。存在远程代码执行类漏洞的网络摄像头的HTTP头部Server均带有“Cross Web Server”特征,黑客利用该类漏洞可获取设备的shell权限。

专用协议远程控制类漏洞是指应用程序开放telnet、ssh、rlogin 以及视频控制协议等服务,本意是给用户一个远程访问的登录入口,方便用户在不同办公地点随时登录应用系统。由于没有针对源代码中可执行的特殊函数入口进行过滤,因此客户端可以提交恶意构造语句,并交由服务器端执行,进而使攻击者得逞。

2、物联网摄像头安全措施

黑客攻击都有一定的目的,或者是经济目的,或者是政治目的。针对物联网摄像头,只要让黑客攻击所获利益不足以弥补其所付出的代价,那么这种防护就是成功的。当然,要正确评估攻击代价与攻击利益也很困难,只能根据物联网摄像头的实际情况(包括本身的资源、重要性等因素)进行安全防护。但是,对物联网摄像头的安全防护,不能简单地使用“亡羊补牢”(发现问题后再进行弥补)的措施,即便如此,我们也不必对安全防护失去信心。

为了实现智慧城市中的物联网摄像头的安全防护,必须联合各方尽快采取下列安全措施。

(1)加强视频监控系统使用者的安全意识。使用者及时更改默认用户名,设置复杂口令,采取强身份认证和加密措施,及时升级补丁,定期进行配置检测、基线检测。

(2)加强视频监控系统的生产过程管控。做好安全关口把控,将安全元素融入系统生产中,杜绝后门,降低代码出错率。

(3)建立健全视频监控系统的生产标准和安全标准,为明确安全责任和建立监管机制提供基础。

(4)建立监管机制。一方面,对视频监控系统进行出厂安全检测;另一方面,对已建设系统进行定期抽查,督促整改。

(5)加大视频监控系统安全防护设施的产业化力度。在“产、学、研、用”的模式下推进视频监控系统安全防护设施的产业发展,不断提高整体防护能力。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 物联网
    +关注

    关注

    2859

    文章

    41108

    浏览量

    356919
  • 摄像头
    +关注

    关注

    59

    文章

    4527

    浏览量

    92567
  • 网络安全
    +关注

    关注

    9

    文章

    2905

    浏览量

    58575
收藏 人收藏

    评论

    相关推荐

    电梯数智监控摄像头,电梯有了“超能力”#电梯监控 #电梯安全 #电梯联网

    联网监控摄像头
    jf_69150321
    发布于 :2024年02月27日 09:28:31

    手机中的摄像头用的是什么接口?

    手机中的摄像头用的是什么接口
    发表于 11-01 07:03

    ESP32如何传输摄像头视频码流?

    ESP32本身如何传输摄像头视频码流?看到社区diy视频,esp32本身可以使用的IO就不多,如何可以连接摄像头呢?
    发表于 10-17 06:35

    双目摄像头可以实现计算高度吗?

    双目摄像头可以计算长度,那么他可以计算出高度或者对障碍的距离吗?还有他是怎么计算长度的,有没有公式
    发表于 09-28 06:55

    esp32可以接500w摄像头吗?

    网上都是200w摄像头例程,可不可以接500w的ov5640摄像头
    发表于 09-25 06:16

    PaddlePi-K210开发板除了支持ov2640 ov5640摄像头外,还支持哪些摄像头作为外设?

    想问一下PaddlePi-K210开发板除了支持ov2640 ov5640摄像头外,还支持哪些摄像头作为外设?能否支持红外摄像头?谢谢!
    发表于 09-14 07:13

    摄像头 NVIF 云台控制

    摄像头
    阿梨是苹果
    发布于 :2023年08月31日 09:54:28

    52 第9讲--基于摄像头的图像处理IP使用 - 第4节

    摄像头
    充八万
    发布于 :2023年08月19日 16:24:35

    JA JB JC接口怎么结合pmod接口的摄像头使用?

    想问一下JA JB JC接口的用法,怎么结合pmod接口的摄像头使用,这个接口和内核的管脚对应关系,然后怎么用它们把摄像头的数据交给内核或者交给显示屏
    发表于 08-16 08:05

    安卓主板的摄像头旋转、前置、后置摄像头镜像如何设置?

    摄像头
    广州向成电子科技有限公司
    发布于 :2023年07月07日 21:04:42

    【鲁班猫创意氛围赛】立项_无线AI摄像头

    1.介绍看了一下鲁班猫开发板的介绍,性能还是很不错的,可以用来做一些AI的产品,最近也在学习一些AI的算法和模型,刚好可以拿这个开发板跑一下。2.功能描述主要是开发一个无线摄像头,开发板连接一个
    发表于 03-22 13:24