安全警报:未加密协议导致监控系统门户洞开网络安全公司Bitsight发出警告,全球超过4万台基于HTTP或RTSP(实时流协议)的安防摄像头因未加密访问而暴露于远程入侵风险。这些设备通过IP地址公开传输实时画面,成为窥探、网络攻击、勒索及跟踪的绝佳目标,对个人隐私和公共安全构成重大威胁。
漏洞机理:无需凭证即可获取实时画面研究人员发现,大量基于HTTP协议的摄像头只需请求特定URI(如/out.jpg)即可绕过认证获取实时影像。即使设备表面设有防护,攻击者仍可通过已知URI或截图工具直接截取画面。技术团队通过分析主流品牌设备,开发出基于网站图标哈希值、HTTP标头及HTML标题的指纹识别方法。这些内置网页服务器的摄像头常见于家庭和小型办公场所,多数设备完全暴露于公网,仅需IP地址加端口号即可访问。
RTSP协议摄像头因缺乏网站图标等明显标识,指纹识别难度更高。研究人员通过分析RTSP服务器标头推断厂商信息,并利用FFmpeg等工具测试常见URI(如/live.sdp、/video.h264)来截取画面。该协议因低延迟特性广泛应用于专业监控领域。
全球分布:电信行业占比近八成Bitsight的全球扫描数据显示,暴露设备数量最多的国家依次为美国(约1.4万台)、日本(约7000台)、奥地利和捷克。按行业划分,电信行业占比高达79%,主要源于家庭用户广泛使用联网摄像头。排除电信行业后,科技领域暴露设备最多(28.4%),其次是媒体(19.6%)、公用事业(11.9%)、商业服务(10.7%)和教育(10.6%)。
报告指出:"电信行业占比居首并不意外。这些设备已深入日常生活,被广泛用于宠物看护、住宅安防等场景。由于连接家庭网络,其公网IP最终关联至互联网服务提供商——即电信企业。"
现实危害:从家庭卧室到重症监护室的全面失守数千台暴露摄像头正实时传输着住宅卧室、零售店铺、公共交通、数据中心、ATM机舱乃至医院病房的敏感画面。安全措施薄弱的自助安装系统使攻击者得以窥探隐私、策划盗窃或窃取机密数据。这种大规模监控系统配置不当引发的风险已渗透至各行各业。
暗网论坛上,网络犯罪分子正积极搜寻暴露的摄像头资源。Bitsight建议用户立即采取以下防护措施:更新设备固件、修改默认密码、关闭非必要远程访问、加密网络连接并监控异常登录行为。
参考来源:
Exposed eyes: 40,000 security cameras vulnerable to remote hacking