三星SmartCam相机被曝存在十多个安全漏洞，智能相机变成间谍工具？

基于个人用户对安全隐私方面的重视，越来越多的智能家庭摄像头涌入市场，用户们希望这些产品能够对自己的家庭起到必要的监督和保护效果，然而并不理想，这些智能摄像头实际上也有许多的安全漏洞。

上周，在卡巴斯基安全分析师峰会上，网络安全公司的研发人员称通过调查安全设备制造商，韩华集团美国分部的安全摄像头，表示已经发现了当这款安全摄像头联网时产生的13个脆弱的安全漏洞。

三星电子于2014年将其三星Techwin安全部门出售给韩国联合企业韩华集团。然而，到目前为止韩华的SmartCam产品仍被命名为“三星”。

漏洞详情

由于是使用HTTP进行的软件更新，所以操作一般基于Web的用户界面，以root权限执行远程代码，拒绝服务（DoS）和暴力破解等攻击，并且可以利用这些漏洞来拦截流量，绕过认证，强制对管理员帐户进行攻击。

专家已经确定了大约有2000个IP地址与暴露于互联网的摄像机存在关联，但他们认为，由于漏洞可以被利用，所以即使是不能直接从网络访问的设备可能也会受到影响，因此实际的影响数量会比 SmartCam云基础架构上的更高。

另外，卡巴斯基发现的漏洞之一可以用于注册尚未注册的相机。 这不仅会阻止合法的所有者注册使用相机，还会让黑客控制已经注册的相机。

由于云基础架构中存在漏洞，所以攻击者可以伪造更新服务器从而将恶意软件推送到设备。专家表示，经过修改的固件可以为目标摄像机提供访问权限，以此作为网络设备的入口点。

卡巴斯基研究人员解释说：“攻击者可以利用密码生成算法中的漏洞重置密码，并修改克隆相机的固件。然后禁用受害者相机的远程设备。因此，受害者会收到来自攻击者克隆相机发来的视频信号”。

除了恶意软件感染之外，这些摄像机还可用于加密货币挖掘，这是企业面临的最大的新兴安全威胁之一。

目前物联网设备安全性应得到足够的重视，四维创智在去年的XPwn 2017现场选取国内10款主流的NVR设备的测试结果和详细数据进行公布。同时，现场对国外大厂商的NVR设备进行漏洞测试，均存在漏洞隐患。

物联网安全根本问题在于客户和供应商都错误地认为，如果将设备放置在网络中，并在路由器的帮助下将设备与更广泛的互联网分开，将解决大多数安全问题，至少可以大大降低现有问题的严重程度，“Dashchenko在发布中表示。 “在许多情况下，在利用目标网络内部设备的安全问题之前，需要获得对路由器的访问权限毋庸置疑。但是，研究表明我们所调查的摄像机只能通过云服务与外部世界进行交流，而云服务完全是脆弱的。“

针对家庭用户更改默认密码，定期进行密码更新。同时，有关已发现和修补漏洞的信息通常可以在线获得，并且通常很容易找到，要密切关注连接设备的安全问题。