一、背景
2021年6月11日,中央网络安全和信息化委员办公室、工业和信息化部、公安部和市场监管总局四部门联合发布了《关于开展摄像头偷窥等黑产集中治理的公告》,公告中指出,近年来,不法分子利用黑客技术破解并控制家用及公共场所摄像头,将智能手机、运动手环等改装成偷拍设备,出售破解软件,传授偷拍技术,供客户“偷窥”隐私画面并借此牟利,已形成黑产链条,严重侵害公民个人隐私,人民群众对此反应强烈。公告要求,自2021年5月至8月,在全国范围组织开展摄像头偷窥等黑产集中治理。
公告明确要求,社交软件、网站、论坛等互联网平台要严格履行信息发布审核的主体责任,全面清理平台上发布的涉摄像头破解教学、漏洞风险利用、破解工具售卖、偷拍设备改装、偷窥偷拍视频交易等摄像头偷窥黑产相关违法有害信息;摄像头生产企业要按照数据安全、信息安全有关规定和标准提升产品安全能力,提供公共服务的视频监控云平台及有关企业要严格履行网络安全主体责任,强化云平台网络安全防护,落实对远程视频监控App的数据安全防护责任。
公告同时要求,网信、工信、公安、市场监管等部门要加强监管和执法,对于不落实主体责任的社交软件、网站、论坛、视频监控云平台、电商平台等互联网平台和企业,依法依规严厉进行处罚;依法打击提供摄像头破解软件工具、对摄像头设备实施攻击控制、获取买卖公民隐私视频等违法犯罪活动,严惩违法犯罪分子。
网络摄像头偷窥黑色产业链形成已久,黑产团伙开发出的软件可以批量扫描获得摄像头ID;然后进行弱口令探测并开始大批量“攻击”网络摄像头,当成功获取了网络摄像头标识ID后,黑产团伙就可以拿到大批量偷拍或者监控视频,如在住宅楼道、车站、宾馆等隐私场所的视频,之后黑产会按照敏感及隐私程度明码标价,出售给以“色情网站”为主的其他黑产团伙,实现盈利。
此前,据《2018年摄像头安全报告》统计,截至2018年11月底,全球共有228个国家8063个城市中的2635万个摄像头设备对公网开放访问权限。其中,中国位列第三,共有165万个。由此可见,处于不安全状态的摄像头并不在少数。
当前,四部门在全国范围组织开展摄像头偷窥黑产的集中治理行动,将进一步打击犯罪分子违法收集使用个人隐私安全问题,并采取有效技术措施与法律手段,斩断贩卖公民隐私的黑色产业链。
二、网络摄像头常见的攻击方式和风险分析
目前的智能网络摄像头主要由四部分构成,分别是Web客户端、摄像头设备端、手机端和云端。而这四者在整个系统中起到的作用分别是:
1、摄像头设备端:主要存放设备密码、与云端交互的信息、协议相关信息;
2、手机端:通过蓝牙、Wi-Fi等方式管理智能设备、用户注册、密码修改、绑定设备、管理设备等;
3、云端:提供存储空间进行上传的视频存储、对用户进行管理、对App进行管理、提供API接口等。
4、Web客户端:通过Wi-Fi等方式实现智能设备的管理,用户名及密码的管理、设备绑定、历史数据查看等。
根据这四部分在智能监控系统中扮演的角色,黑产团伙可以从4个角度实现攻击:
- 针对摄像头端的攻击
由于部分摄像头固件中密钥固定且安全保护强度低,很容易对摄像头中的固件逆向提取,获取密码等敏感数据;对设备的序列号进行篡改,获取用户权限;获取内存中的敏感数据(如用户名、密码等)。
- 针对手机端的攻击
(1)代码层攻击:对APP进行脱壳、使用反编译工具获取源码、本地敏感数据存储等。
(2)业务逻辑层攻击:中间人攻击、访问控制是否合理、数据加密强度等。
(3)钓鱼及仿冒应用:攻击者对外散播盗版及二次打包应用,以盗取使用者的账号密码,从而实现摄像头的远程控制及隐私窃取。
- 针对云端的攻击
目前各大智能摄像头厂商均提供了云端客户登录及管理页面,故攻击者针对Web页面进行撞库、脱库等方式导致账号密码泄露,通过云端导致隐私数据泄露。
- 针对传输管道攻击
目前APP与设备、APP与云端、设备与云端等均使用不同的通信协议及加密方式,通信协议传输过程中的加密方式及协议设计缺陷,极易导致攻击的发生。
三、智能摄像头安全防护思路
摄像头风险不仅仅在移动APP端,更不是仅通过移动应用安全检测、移动应用个人信息安全检测等移动端防护就可以解决的。智能摄像头安全的立体化安全还需要综合移动安全、物联网安全及传统网络安全,只有形成一个完整的安全保护体系,才能有效防止攻击者从任何一个点切入,导致客户隐私数据泄露。
在移动应用安全方面,通过使用APP安全加固技术实现代码的加密保护,防止APP发布后被攻击者破解、反编译、二次打包;通过使用专业的人工移动端渗透测试服务与自动化测试相结合的方式,解决开发人员引入的安全漏洞和业务逻辑缺陷;通过采用白盒密钥保护技术实现APP中与云端及摄像头通讯的密钥安全,确保数据传输的安全可靠;通过采用合规检测工具及人工服务,实现APP的隐私合规问题,确保符合国家对于APP的隐私相关要求;通过采用APP运行时安全监测技术,实现APP发布后运行阶段的攻击监测、响应、溯源,解决动态运行时非授权渗透测试、人脸绕过等攻击。
在摄像头固件安全方面,通过使用物联网应用加固安全加固技术,实现摄像头固件核心代码的保护,防止攻击者逆向分析代码进行协议攻击;通过使用物联网白盒密钥保护技术,实现摄像头固件侧密码存储及通信加密的安全保护;通过使用人工及自动化检测技术对固件中的软件成分进行分析,有效发现协议、代码等层面的安全漏洞;
在云端安全方面,在制定好云端视频数据加密存储机制及管理制度的前提下,需要进一步针对云端API进行安全防护,防止攻击者通过自动化攻击工具或爬虫技术进行API接口的撞库、脱库,或利用云端API的业务逻辑缺陷,最终导致客户数据泄露。
四、智能摄像头市场安全监管
智能摄像头作为智能家居领域最为重要的组成部分,直接关系到广大人民的个人隐私安全,同时智能摄像头安全属于移动和物联网安全的交叉领域,国家监管部门也在进一步增强标准规范的建设。除了需要遵守信息安全领域的要求外,如信息安全等保2.0、GB/T 18336《信息技术安全技术 信息技术安全评估准则》、CSPSH-GF-001《信息安全技术安防类智能联网产品网络安全技术规范》等,监管部门还针对视频监控制定了标准依据,2018年11月1日,GB35114-2017《公共安全视频监控联网信息安全技术要求》国家强制标准正式实施,并同步审批通过了《社会公共安全领域智能联网产品(网络安全)自愿性认证》,GB35114-2017对公共安全视频监控的信息安全提出明确规范要求,是全面加强公共安全视频监控领域信息安全的技术依据。
但随着移动和物联网攻击技术的不断发展,来自黑客、灰产新型攻击技术的出现,智能摄像头安全标准及监管行动亟待进一步加强。智能摄像头生产及运营企业应当建立起完善的网络安全主体责任机制,在信息安全及数据安全层面建立完善的技术与管理手段,确保终端用户的隐私及数据安全。
五、智能摄像头安全使用指南
1、认准安全系数高的品牌
用户在选择家用摄像头时,尽量选择安全系数高的品牌,也就是平时所说的大品牌,通常无品牌或者杂牌产品基本没有完善的固件更新服务、升级服务,并且极有可能不会及时更新修补安全漏洞。所以,在选择摄像头时,不要因为便宜几十块钱,而忽略了家庭隐私保障。
2、密码复杂度设置、定期更换
用户在自行注册摄像头账户时,初始用户名和密码必须更改,并且在修改新用户名和密码时,不要为了方便设置的过于简单,比如123456或者生日等,并且要及时关注摄像头APP的更改密码提醒。如果绑定的手机上收到了更改摄像头密码的验证短信,就应该立刻修改密码。
3、APP下载选取官方渠道,增强防范意识,不要轻易相信钓鱼网址链接
用户在下载摄像头APP的时候,要去官方指定的渠道(如官网、或者手机上的官方应用商店)下载,否则在非官方渠道下载的APP容易被不法分子植入木马或者钓鱼链接,极易造成用户手机被控制,隐私泄露,如用户名和密码等。
梆梆安全致力于移动安全和物联网安全技术研究,深耕智能终端信息安全问题,曾联合中国电子技术标准化研究院、交通运输部科学研究院、交通运输网络安全技术行业研发中心联合编撰并发布了《智能终端信息安全白皮书》,在摄像头信息安全保护领域具有丰富的技术积累和实践经验。随着治理行动的进一步展开,国内各大监管及检测机构,也会进一步加强抽查执法行动,推动智能摄像头的安全标准及检测标准完善。梆梆安全也将持续发挥自身在智能终端信息安全的优势,全力保障摄像头等智能终端信息安全,保护用户的个人隐私。
来源:freebuf.com 2021-06-25 09:49:00 by: 梆梆安全
请登录后发表评论
注册