一度引起关注的「360水滴」事件,最终以关闭直播平台作为事件的结束。至此公众归于平静。但随着智能物联网家用设备的飞速发展,「360水滴」事件后,你的网络摄像头就安全吗?显然不是的。
根据调查发现,那些能够「直播」你生活的隐患无处不在!
图1:全球暴露网络监控摄像头位置
那些「直播」我们生活的「天眼」
网络中有很多「黑色产业链」正在窥探着你的隐私,甚至会影响你的生活。通过图2,我们可以看到,利用社工库、漏洞等方法攻击网络摄像头的「偷窥业务」已经产业化,从兜售软件、出售暴露IP、网络收费教程等多方面开展,令人防不胜防。
图2:黑色产业将偷窥网络摄像头作为其获利手段
当然,目前如360一样具有保障网络安全能力的大厂商并不多。更多情况下,使用网络的公开技术资源就能够查到网络空间中存在安全威胁的物联网设备,从而使你的生活变成一场「直播秀」
「傻白甜」们的摄像头
从家庭的网络摄像头到集成在智能家电中的摄像头,还有店铺、小区、办公楼、酒店、道路交通等大量网络摄像头在没有安全措施保护的情况下直接暴露在网上。从事黑色产业的不法分子可以通过暴露的公网IP扫描到那些固件、系统没有及时更新,端口没有关闭的「傻白甜」用户使用的网络摄像头。那么「傻白甜」们的生活就会存在「被直播」的风险。我们研究发现,使用SHODAN这个互联网的「暗黑搜索引擎」,就能将接入网络空间的设备一一寻出。
图3:通过SHODAN及关键词查询设备暴露的公网IP地址
海康威视 IP 网络摄像机、大华网络摄像机、cctv 摄像机、SQ-WEBCAM 摄像机等市场中占据大量份额的产品均存在一定安全风险。
图4:公共区域的风险网络摄像头
图5:家庭的风险网络摄像头
很难想象,当孩子独自在家时,被网络摄像头暴露后会发生什么…
「智者」们的摄像头
那么,作为互联网中注意个人信息维护、产品系统维护的「智者」们,你的网络摄像头就安全吗?很遗憾,并不会!黑色产业也可以通过多种方式(使用方法,手动河蟹)潜入你的生活,并把你的生活录制下来为其获利。
图6:黑色产业录制“隐私视频”获利
使用SHODAN,我们以webcam、camera2个关键词为例,仅在中国地区就有81,084个属于存在安全隐患设备的公网IP地址暴露。我们以台北市区暴露的IP地址为例,通过使用IP问问进行高精准定位,我们通过 图7可以看到文中提及地区的摄像头暴露密集程度。
图7:台北市暴露摄像头分布情况
所以,还在认为,电影速度与激情中被各方势力争抢的「天眼」系统,仅存在于电影中吗?虽然还做不到电影中的夸张场景,但你的隐私,或许正在暴露!
寻找你附近的风险网络摄像头
方法:
首先,通过SHODAN查询到已经暴露的物联网设备,
然后,通过IP问问的高精准定位将这些有风险的设备标注出来。
应用:
第一,处在风险区域内的用户可以根据这些位置自查,将家里的设备固件升级、增强密码复杂程度,通过安装防火墙避免被网络扫描;外出的时候也可检查空间内隐私位置,避免进入“直播”。
第二,销售网络摄像头产品的企业可以针对已推向市场的产品进行查询,追踪已购买客户的安全隐私问题,做到合理提示用户,改变售出产品的风险状态。
第三,政府监管方可通过IP问问发现存在安全隐患物联网设备的位置,通过位置确认责任单位,实施整改。
第四,执法部门,可以使用IP问问进行网络取证。打击网络空间中的犯罪分子,让他们在现实世界中无所遁形。
*本文作者:outerheaven,转载请注明FreeBuf.COM
来源:freebuf.com 2018-01-02 09:00:07 by: outerheaven
请登录后发表评论
注册