現階段���,攝像頭已經廣泛應用于生活的方方面面��,在帶給我們便利的同時,也讓不法分子發現了可乘之機。今年6月,澎湃新聞連發三篇報道����,揭示了偷拍相關黑色產業鏈�����,在此之前��,央視也報道了大量攝像機被破解�,IP地址被公開叫賣的問題���。在近日舉辦的ISC 2020第八屆互聯網安全大會上�����,攝像頭安全問題同樣引起了與會各方的高度重視��,360智慧生活集團軟件中臺部總經理孫浩還為此發表了專題演講。
統計數據顯示��,2019年新增暴露的攝像機IP數量已經超過1500萬——這還僅僅是部分掃描數據�����。從變化趨勢來看�,近兩年的攝像機公網暴露情況是直線增長的�����,隨著C端智能攝像機的進一步普及���,這個數據還將維持高增長趨勢�����。可以說,攝像機的安全問題已經得到了整個社會的廣泛關注。
孫浩表示�����,圍繞攝像頭常見的安全漏洞可以分為三大類:第一類是命令注入漏洞��,可以借此執行系統命令或者運行任意程序,2016年10月�����,美國東海岸甚至因此造成了持續數小時的大規模斷網;第二類是授權問題,可以訪問未授權或者通過某個隱藏入口直接訪問對應的設備;第三類是服務器存在訪問控制缺陷�����,例如2018年4月HK云服務器發現訪問控制缺陷����,任意人可以通過該漏洞實現查看攝像、回放錄像����、添加賬戶共享等操作�����。
其中,影響最大的安全漏洞還要數弱密碼問題����。由于弱密碼這類漏洞的破解技術含量非常低�,這類的網絡攻擊已經大規模的工具化��、產業化�。售賣破解工具����、售賣已經破解的IP地址和密碼����、將已經破解的設備做成一個可以在線查看的APP,諸如此類違法黑產行為����,甚至已經形成了一條完整的產業鏈�。在此基礎上�,攝像機安全漏洞,尤其是弱密碼帶來的風險�����,已經愈演愈烈��。
為了針對性地解決這些問題�,360會在每一款新硬件�、每一個固件在發版前,按照流程做安全滲透審查�����。目前����,360的安全滲透審查大致分為五個方面:首先是硬件安全,查看有無遺留的物理接口——這里主要是調試接口���、產測接口,能不能防物理攻擊����,比如之前門鎖的小黑盒����,需要能防電磁沖擊����,做好屏蔽和ESD防護;再者是系統安全�����,查看有無危險的端口遺留�,OTA更新對固件有無校驗���,有無系統漏洞等;其次是應用層安全���,查看應用安裝、運行通信有無風險;然后是通信安全,主要針對各種協議進行分析��,檢查有無身份驗證和數據傳輸問題;最后是云端安全�,主要檢查有沒有遭受注入攻擊的風險,確保認證安全和業務安全。
與此同時,為了盡可能地保障設備被合法使用��,360還實施了以下舉措:一是針對家人分享功能�,設定10人的分享上限,超出需求的特殊場景需要人工確認審批;對頻繁分享�����、取消的異常行為也進行了識別�,做二次驗證或者禁止。另外�,為了避免賬號共用����,目前360計劃借鑒金融平臺的設備安全認證能力�,打通內部數據,完善賬號的異地登錄�、可信設備管理等功能�。
“物聯網安全是一種能力�����,更是一種態度,這不僅需要良好的研發規范和安審流程做保障�����,更需要與使用場景進行深入結合���。”正如孫浩在ISC 2020中所說的那樣�,類似攝像頭這種智能硬件的安全,需要廠商通過高度的責任心和嚴謹的研發流程予以保障����,唯有如此才能讓用戶買得放心�����,用得安心。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息�,并不代表本網贊同其觀點���。其原創性以及文中陳述文字和內容未經本站證實���,對本文以及其中全部或者部分內容���、文字的真實性���、完整性���、及時性本站不作任何保證或承諾��,并請自行核實相關內容����。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益�����,請及時聯系我們�,本站將會在24小時內處理完畢。
