未上鎖的網路攝影機,讓全世界都能偷窺你
作者 / 洪朝貴,朝陽科技大學資訊管理系副教授
網路攝影機(IP Camera)好方便,透過它你可以從別處用手機連線檢視家裡或公司的影像。但是既然這些裝置連上網路,會不會有其他 「網路人甲」也正在偷窺你家呢?甚至跟你家裡的小朋友互動呢?多起案例顯示:
網路攝影機可能會成為駭客入侵家用網路的跳板。
也許你想在上班時看一下家裡的喵星人在幹嘛,或是想監控員工上班時是否偷懶,所以在家裡或公司裝了一部隨時連線的網路攝影機 。如果你連預設密碼都不曾改過,那就大大不妙了。 隨手舉幾個案例: 2011 年的 arstechnica 的報導指出,只要學會下特殊的搜尋條件, 很容易就能搜尋到對全世界公開、 完全不設防的網路攝影機, 包含十字路口、 政府機關、 客廳臥房、 珠寶店、 辦公室、 … 的場景。
原本想要保護小孩或財產的工具,如果沒有加以適當的保護, 會不會反而淪為邀請惡意入侵者的明亮招牌呢?例如竊賊可以研究你們公司的作息時間及保險櫃位置?偷窺者還透過網路攝影機出聲騷擾嬰兒 ,到了 2015 年,已經不需要學特殊搜尋條件,全球未上鎖網路攝影機實況直播 全部被收入一個網站,你我也都可以輕易地欣賞異國街景實況,或是甚至變身成為一個偷窺者。
如果你的網路攝影機非得上網不可,最好不要對著室內拍。密碼一定要改,而且應避開熱門的四位數字密碼。
但光改密碼還是不夠的,上述騷擾嬰兒事件當中,至少有一次被偷窺者的攝影機明明有設密碼,但還是被入侵。為什麼設了密碼還是不夠? 因為凡軟體皆有臭蟲,比方說微軟的 windows 10 蠻橫霸道上路 之後,又強迫 win 7 跟 win 8 用戶安裝 telemetry,這裡有一大部分原因固然是為了強化監控使用者(抓盜版 Windows 之類的),但應該也有另一部分真的是為了提升用戶安全。至於那些還在採用 Windows XP 上網的用戶,則隨時都曝露在風險當中,因為微軟已經不再幫它做安全更新。總之, 你不時就會聽到身旁的人提醒 Windows 作業系統需要做安全更新,但是絕大多數的網路攝影機消費者根本不就會想到,
那個靜靜在插座上低調地待了兩三年的網路攝影機, 原來竟然也需要偶爾更新韌體?
就算廠商負責任地迅速推出安全更新,它甚至可能無法通知到所有用戶。於是多數的裝置還是繼續採用舊的韌體在網際網路上裸奔,反而是好奇的小屁孩跟駭客會根據這些消息迅速地搜尋網路上還有哪些未更新、 門戶大開的攝影機。
上述騷擾嬰兒事件的機器是 來自中國的 foscam,在 3 年間有 4 次重大資安危機,其中 2013 年 4 月 ( 另一個連結) 跟 2014 年 1 月 兩次有較多的報導。較小的廠牌諸如 Loftek 跟 Wanscam 也都出過嚴重資安問題。更麻煩的是 TVT 所製造的問題機掛了 70 幾種不同的品牌,搞不好連這些白牌廠商都不知道自己的機器有問題。你可以試著用廠牌名稱加上「vulnerability」或「hacked」的關鍵字搜尋一下,看看你的網路攝影機有沒有出包,如果搜尋到,請趕快更新韌體吧!如果沒有搜尋到,可能是很幸運地沒遇到,也可能是很不幸地連出包都不知道。
網路攝影機被入侵,危害到的可能不只有那部機器本身最嚴重的狀況下是入侵者取得攝影機的最高控制權(Root),等於在你家裡放了一部他的伺服器,或許有可能進而探索家庭網路內的其他裝置。
網路攝影機的資安問題比電腦或網路分享器更棘手許多,只是網路攝影機的問題特別 「顯眼」而已。我的建議? 沒有好的建議。如果我自己需要裝,大概不會買現成的,而會自己用 Raspberry pi 加上 vlc 跟 Open Vpn 自己組一臺才安心。事實上所有的 「物聯網 (Internet of Things)」 類型的產品, 可能都有類似的問題,日後再來討論物聯網產品普遍性的資安挑戰。
圖片來源:Wikipedia
留言討論