360攝像頭會被查看嗎?別鬧了,層層防護讓黑客看了想哭

現(xiàn)階段,攝像頭已經廣泛應用于生活的方方面面,在帶給我們便利的同時,也讓不法分子發(fā)現(xiàn)了可乘之機。今年6月,澎湃新聞連發(fā)三篇報道,揭示了偷拍相關黑色產業(yè)鏈,在此之前,央視也報道了大量攝像機被破解,IP地址被公開叫賣的問題。在近日舉辦的ISC 2020第八屆互聯(lián)網安全大會上,攝像頭安全問題同樣引起了與會各方的高度重視,360智慧生活集團軟件中臺部總經理孫浩還為此發(fā)表了專題演講。

360攝像頭會被查看嗎?別鬧了,層層防護讓黑客看了想哭

統(tǒng)計數(shù)據(jù)顯示,2019年新增暴露的攝像機IP數(shù)量已經超過1500萬——這還僅僅是部分掃描數(shù)據(jù)。從變化趨勢來看,近兩年的攝像機公網暴露情況是直線增長的,隨著C端智能攝像機的進一步普及,這個數(shù)據(jù)還將維持高增長趨勢??梢哉f,攝像機的安全問題已經得到了整個社會的廣泛關注。

孫浩表示,圍繞攝像頭常見的安全漏洞可以分為三大類:第一類是命令注入漏洞,可以借此執(zhí)行系統(tǒng)命令或者運行任意程序,2016年10月,美國東海岸甚至因此造成了持續(xù)數(shù)小時的大規(guī)模斷網;第二類是授權問題,可以訪問未授權或者通過某個隱藏入口直接訪問對應的設備;第三類是服務器存在訪問控制缺陷,例如2018年4月HK云服務器發(fā)現(xiàn)訪問控制缺陷,任意人可以通過該漏洞實現(xiàn)查看攝像、回放錄像、添加賬戶共享等操作。

其中,影響最大的安全漏洞還要數(shù)弱密碼問題。由于弱密碼這類漏洞的破解技術含量非常低,這類的網絡攻擊已經大規(guī)模的工具化、產業(yè)化。售賣破解工具、售賣已經破解的IP地址和密碼、將已經破解的設備做成一個可以在線查看的APP,諸如此類違法黑產行為,甚至已經形成了一條完整的產業(yè)鏈。在此基礎上,攝像機安全漏洞,尤其是弱密碼帶來的風險,已經愈演愈烈。

為了針對性地解決這些問題,360會在每一款新硬件、每一個固件在發(fā)版前,按照流程做安全滲透審查。目前,360的安全滲透審查大致分為五個方面:首先是硬件安全,查看有無遺留的物理接口——這里主要是調試接口、產測接口,能不能防物理攻擊,比如之前門鎖的小黑盒,需要能防電磁沖擊,做好屏蔽和ESD防護;再者是系統(tǒng)安全,查看有無危險的端口遺留,OTA更新對固件有無校驗,有無系統(tǒng)漏洞等;其次是應用層安全,查看應用安裝、運行通信有無風險;然后是通信安全,主要針對各種協(xié)議進行分析,檢查有無身份驗證和數(shù)據(jù)傳輸問題;最后是云端安全,主要檢查有沒有遭受注入攻擊的風險,確保認證安全和業(yè)務安全。

與此同時,為了盡可能地保障設備被合法使用,360還實施了以下舉措:一是針對家人分享功能,設定10人的分享上限,超出需求的特殊場景需要人工確認審批;對頻繁分享、取消的異常行為也進行了識別,做二次驗證或者禁止。另外,為了避免賬號共用,目前360計劃借鑒金融平臺的設備安全認證能力,打通內部數(shù)據(jù),完善賬號的異地登錄、可信設備管理等功能。

“物聯(lián)網安全是一種能力,更是一種態(tài)度,這不僅需要良好的研發(fā)規(guī)范和安審流程做保障,更需要與使用場景進行深入結合。”正如孫浩在ISC 2020中所說的那樣,類似攝像頭這種智能硬件的安全,需要廠商通過高度的責任心和嚴謹?shù)难邪l(fā)流程予以保障,唯有如此才能讓用戶買得放心,用得安心。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )