315特稿 | 数百万视频监控资产暴露 偷窥不止个人隐私

原创 华顺信安

2022年3月15日，央视315晚会曝光了大量低配智能手表存在安全漏洞，易被不法分子利用，智能手表摄像头秒变“偷窥器”，基于摄像头产生的安全隐患成为当下热议话题。

图 315晚会视频现场演示

晚会现场展示的是智能设备上摄像头的安全隐患，但在人们日常生活中还有大量各种类型的视频监控设备在关注着我们的一举一动。2021年4月30日《人民日报》（海外版）就曾发表题为《网络摄像头黑色产业链令人心惊 加强监管势在必行》的专题报道，文中介绍了黑客通过一款软件便控制了全球18万摄像头，并将摄像头拍摄内容和视频查看权限非法售卖牟利的惊心案例。而在更多案例中，作案人员甚至无需接受专业训练，仅通过短时间的自学或购买工具就能攻破几十、数百个视频监控设备。视频监控资产所暴露出的越来越多的安全隐患，使其正在成为网络安全防护体系里的新短板。

图 2021年4月30日《人民日报》（海外版）报道

“猫眼”：不止窥探隐私

黑客“破解家用智能监控设备”的目的，大多是通过售卖视频等方式来谋取金钱利益。而针对企业、工厂以及其他关基单位视频监控设备展开网络攻击渗透，则是黑客窃取敏感数据信息、开展不正当竞争甚至破坏生产的前置手段。

2021年，一名美国黑客通过漏洞进行摄像头破解，并对外直播了汽车工厂、监狱、小学校园等地的监控视频。所幸该事件仅为黑客炫技行为，攻击并没有持续很长时间。但如果是基于非法目的，工厂流水线的制作流程工艺、监狱狱警的值班换班时间等信息被攻击者刻意记录，其后果将非常严重。

在俄乌冲突初期，曾有外媒爆料俄罗斯黑客通过入侵道路监控设备，掌握乌克兰军队部署情报的新闻。近期，某国际黑客组织更是在一次攻击中，直接接管了400多台俄罗斯境内摄像头，并分享了被黑摄像头的实时信息。

今天的高清摄像头设备很多已经具备了人脸辨识、画面识别、光线感应、数据统计等功能。一方面是视频监控设备越发堪忧的安全现状，另一方面则是其强大功能背后的情报、信息价值提升。如何不让安全监控设备成为“不安全因素”，已经是设备企业、安全厂商与监管机构必须要考虑的重要问题。

百万暴露于互联网之上的视频监控设备资产

数字经济时代下，政企组织因为业务发展需求正在更为广泛的场景中部署越来越多的视频监控设备。而为了能够实现远程管理、移动端查看以及异地数据打通等功能，暴露在互联网上的视频监控资产开始显著增加。根据FOFA平台统计数据显示，当前，全国暴露在互联网上的“视频监控”类资产数量超过670万项。

在庞大暴露数量的另一侧，仅2021年便有数十个针对视频监控设备的弱口令、未授权访问、远程命令执行等安全漏洞被爆出。

在智慧城市快速发展的今天，城市管理、交通监测等都离不开摄像头提供的实时信息，视频监控设备也是政企单位安全生产、管理、运营的重要辅助工具。当前，我国政府已经出台多项政策与措施提升包括视频监控在内的智能设备安全性，相关厂商也在逐步加大设备安全方面的投入。

对于单位安全负责人而言，及时更新系统、打补丁固然重要，但能够探查与找出管辖范围内暴露在互联网上的视频监控设备资产才是真正实现“收敛攻击面”的首要步骤。尤其针对关基单位，不起眼的摄像头监控也极有可能成为重要信息泄露的突破口。