基于个人用户对安全隐私方面的重视,越来越多的智能家庭摄像头涌入市场,用户们希望这些产品能够对自己的家庭起到必要的监督和保护效果,然而并不理想,这些智能摄像头实际上也有许多的安全漏洞。
上周,在卡巴斯基安全分析师峰会上,网络安全公司的研发人员称通过调查安全设备制造商,韩华集团美国分部的安全摄像头,表示已经发现了当这款安全摄像头联网时产生的13个脆弱的安全漏洞。
三星电子于2014年将其三星Techwin安全部门出售给韩国联合企业韩华集团。然而,到目前为止韩华的SmartCam产品仍被命名为“三星”。
漏洞详情
由于是使用HTTP进行的软件更新,所以操作一般基于Web的用户界面,以root权限执行远程代码,拒绝服务(DoS)和暴力破解等攻击,并且可以利用这些漏洞来拦截流量,绕过认证,强制对管理员帐户进行攻击。
专家已经确定了大约有2000个IP地址与暴露于互联网的摄像机存在关联,但他们认为,由于漏洞可以被利用,所以即使是不能直接从网络访问的设备可能也会受到影响,因此实际的影响数量会比 SmartCam云基础架构上的更高。
另外,卡巴斯基发现的漏洞之一可以用于注册尚未注册的相机。 这不仅会阻止合法的所有者注册使用相机,还会让黑客控制已经注册的相机。
由于云基础架构中存在漏洞,所以攻击者可以伪造更新服务器从而将恶意软件推送到设备。专家表示,经过修改的固件可以为目标摄像机提供访问权限,以此作为网络设备的入口点。
卡巴斯基研究人员解释说:“攻击者可以利用密码生成算法中的漏洞重置密码,并修改克隆相机的固件。然后禁用受害者相机的远程设备。因此,受害者会收到来自攻击者克隆相机发来的视频信号”。
除了恶意软件感染之外,这些摄像机还可用于加密货币挖掘,这是企业面临的最大的新兴安全威胁之一。
目前物联网设备安全性应得到足够的重视,四维创智在去年的XPwn 2017现场选取国内10款主流的NVR设备的测试结果和详细数据进行公布。同时,现场对国外大厂商的NVR设备进行漏洞测试,均存在漏洞隐患。
物联网安全根本问题在于客户和供应商都错误地认为,如果将设备放置在网络中,并在路由器的帮助下将设备与更广泛的互联网分开,将解决大多数安全问题,至少可以大大降低现有问题的严重程度,“Dashchenko在发布中表示。 “在许多情况下,在利用目标网络内部设备的安全问题之前,需要获得对路由器的访问权限毋庸置疑。但是,研究表明我们所调查的摄像机只能通过云服务与外部世界进行交流,而云服务完全是脆弱的。“
针对家庭用户更改默认密码,定期进行密码更新。同时,有关已发现和修补漏洞的信息通常可以在线获得,并且通常很容易找到,要密切关注连接设备的安全问题。
领取专属 10元无门槛券
私享最新 技术干货