智能摄像头入侵|一言不合你就被直播了!

原创 时间 2017-06-21  平安广州 神月资讯

近日,央视的一篇报道吓坏了小伙伴们。大量家庭使用的智能摄像头遭入侵,被恶意攻击者利用弱口令获得摄像头的权限,并将这些存在弱口令的摄像头打包售卖。你的一举一动,可能随时被成百上千的陌生人监控。

微信图片_20170819022148.jpg

近日,央视的一篇报道吓坏了小伙伴们。大量家庭使用的智能摄像头遭入侵,被恶意攻击者利用弱口令获得摄像头的权限,并将这些存在弱口令的摄像头打包售卖。你的一举一动,可能随时被成百上千的陌生人监控。


微信图片_20170819022200.jpg

家庭摄像头在线直播

哪种监控设备容易遭到攻击?


据神月信安物联网安全小组的长期跟踪分析,国内多数厂商的监控设备一直存在着多种严重的安全问题,并持续遭受网络攻击,大量监控设备被控制。安全问题排在首位的当属弱口令,监控设备一般都有出厂默认账号密码用户为了方便,一般不进行修改,导致被恶意攻击者利用并控制。

微信图片_20170819022207.jpg


连接到网络的摄像头存在被攻击的风险,这些摄像头监控街道、广场等公共场所还无所谓,若是监控比较隐私的空间如:卧室、浴室等地方,那会怎样?可能会产生被人用来威胁、勒索等不堪想象的后果。

微信图片_20170819022210.jpg


强烈建议不要把摄像头安装在比较隐私的空间

监控设备是如何“沦陷”的?

微信图片_20170819022218.jpg

兜售的家庭摄像头IP和账号密码是哪来的呢?


其实很简单,家庭摄像头需要连接到厂商的服务器的网页进行远程监控(不可避免地留下录像)或者摄像头开放个端口服务进行点对点连接监控,在网页上输入用户名和密码即可控制自己的摄像头。

兜售家庭摄像头信息的人开发出多线程检测工具,根据IP段进行端口检测,发现IP开放了相关端口并存在登录页面后,再尝试通过弱口令进行登录爆破(不存在错误次数限制的登录校验很容易被盯上)。

常见弱口令如下↓↓↓

这些弱口令一般是,user、admin、123456等。爆破成功的账号将会拿出来卖,并筛选出其中对着卧室的床的摄像头,以较高的价格兜售出去。

微信图片_20170819022221.jpg


监控设备被攻击的后果?


被监控被直播,被黑产拿来赚钱


央视报道里最可怕的,不是摄像头有安全漏洞,而是这个安全漏洞已经被黑产团伙利用来赚钱了。只要付钱,就可以通过摄像头对别人进行偷窥。根据QQ安全团队的调查,坏人已经形成了非常成熟的作恶和盈利模式。


  1. 批量获取可用摄像头帐号

工厂批量生产的门,出厂时设置成可以用同一把钥匙打开(例如“user”和“admin”),你装上这扇门后,也没有更换锁和钥匙。坏人只需要拿着钥匙一扇扇门去试,很多人家就会门户大开,这就是所谓的弱密码漏洞。


坏人首先通过对摄像头常用的IP段进行扫描,从中获取可连接的IP地址,然后使用常见用户名和密码对可连接IP地址进行暴力破解,就获得了大批的可用帐号,可以对用户的摄像头进行监控。

微信图片_20170819022225.jpg


使用常见用户名和密码扫描破解


2.对摄像头资源进行筛选管理

微信图片_20170819022227.jpg

对摄像头资源进行筛选管理

大部分摄像头对准的是商场、停车场、超市等公共场所,但也会有一些比较私密的地方:卧室、浴室、客厅……坏人会通过管理软件对这些摄像头进行分类,筛选出窥私癖最喜欢的类型好加价出售。

3. 打包出售获取利益

获得摄像头资源后,坏人会通过各种途径出售来获利:

  •  付费群,打着“福利”的名号,收费入群后分享破解的IP地址和帐号,这样的群一般收费在10元以下


摄像头破解收费群

  • 付费应用,下载安装应用后可以对破解后的摄像头资源进行在线浏览,收费100元左右,值得一提的是,很多这样的应用是假的,纯粹骗钱

    微信图片_20170819022232.jpg

摄像头收费软件

  • 付费资源,经过筛选后的“不可描述”资源也会被单独出售,单条价格不等

微信图片_20170819022235.jpg

如何防范


读到文章的小伙伴们莫慌莫怕

解决和预防方案为大家奉上↓↓↓

微信图片_20170819022239.jpg

修改家里智能摄像头的用户名和密码,不要使用设备的初始密码

  • 不要使用弱密码(密码长度不低于8位,建议数字、字母、大小写、特殊字符混合)

  • 摄像头不要正对卧室、浴室等隐私区域,并经常检查摄像头的角度是否发生变化

  • 不要在公共WiFi环境下输入智能设备的账号和密码,防止信息被劫持

  • 及时关注厂商的公告和更近,及时更新智能摄像头操作系统版本和相关的移动应用APP

  • 尽量购买和使用主流品牌、正规厂商的摄像头产品

不仅仅是这些智能摄像头需要做好安全防范,我们电脑也需要做好相关安全防范哦,比如在不需要使用摄像头时用不透明胶布贴住摄像头;在不需要使用电脑时尽量关闭我们的电脑。

例如下图:用创可贴贴住摄像头


微信图片_20170819022242.jpg

说了这么多,福利时间到!

转发扩散,为信息安全隐私保护贡献一份力量!


点击文末“阅读原文”,阅读并转发,我们将从转发的小伙伴中抽取30名幸运粉丝,萌萌哒充电宝等你领哦!

微信图片_20170819022317.jpg


部分内容来源:QQ安全中心  技术支持:神月信安物联网


<<上一篇 下一篇>>