9月17日,研究人员在全球范围内发现了15000个私人网络摄像头存在安全漏洞,任何有互联网连接的人都可以访问这些网络摄像头,这引发了严重的安全隐患。
为Wizcase工作的白帽黑客Avishai Efrat找到了来自多家制造商的外露设备,包括:AXIS网络摄像头;Cisco Linksys网络摄像头;IP Camera Logo服务器;IP WebCam;IQ Invision网络摄像头;百万像素网络摄像机;MOBOTIX;WebCamXP 5和Yawcam。
这些摄像头已经被欧洲、美洲和亚洲多个国家的家庭用户和企业安装。由于设备网络安全保护不到位,在某些情况下,可以对摄像头进行管理员访问、获取用户信息和获得位置定位。
Wizcase网络安全专家Chase Williams解释说,网络摄像头制造商大量采用先进技术,但这有时导致开放端口和缺少认证机制。许多设备并没有被置于防火墙、VPN或白名单的IP访问之后。如果这些设备具有开放的网络服务,那么它们可能会被公开。
Wizcase敦促网络摄像头操作员更改其设备的默认配置,以便将特定的IP和MAC地址列入白名单以访问网络摄像头,添加强密码验证并在使用P2P网络时禁用UPnP。同时还建议用户配置家庭VPN网络,以便网络摄像头不暴露于公开互联网。
天枢智库点评:此前业界专家杜跃进博士指出,人工智能存在“七宗罪”,分别存在于硬件层、软件层、协议层、数据层、业务层、用户层和机制层。其实,这个路段也适用于IoT领域。目前,IoT领域过于追求技术的先进性,对网络安全风险认识不足、重视不够。如果这种状况持续发展下去,2016年Mirai僵尸网络操纵IoT设备引发大半个美国“断网”级别的网络安全事件还可能发生。
来源:Infosecurity
https://www.infosecurity-magazine.com/news/webcam-security-snafus-expose/
,
