网路摄影机好方便,透过它,你可以从别处用手机连线检视家里或公司的影像。但是既然这些装置连上网路,会不会有其他「网路人甲」也在偷窥你家,甚至跟你家里的小朋友互动呢?多宗案例显示:它甚至可能成为溃客(cracker)入侵你的家用网路的跳板。
也许你想在上班时瞄一下家里的喵星人在干嘛,或是想要从家里监控员工上班时是否偷懒,所以在家里或公司装了一部随时连线的网路摄影机(IP camera)。如果你连预设密码都不曾改过,那就大大不妙了。请搜寻「网路摄影机 隐私」,随便读几个故事。
不设防的网路摄影机 让全世界看到你家2011年的文章指出:只要学会下特殊的搜寻条件,很容易就能搜寻到对全世界公开、完全不设防的网路摄影机,包含十字路口、政府机关、客厅卧房、珠宝店、办公室… …的场景。原本想要保护小孩或财产的工具,如果没有加以适当的保护,会不会反而沦为邀请恶意入侵者的明亮招牌呢?例如协助窃贼研究你们公司的作息时间及保险柜位置?
「偷窥者透过网路摄影机出声骚扰婴儿」这样的事件曾经有三次被报导出来,可以想像:没有被报导的事件以及没有出声默默偷窥的事件更不知还有多少件。到了2015年,已经不需要学特殊搜寻条件,全球未上锁网路摄影机实况直播全部被收入一个网站,你我也都可以轻易地欣赏异国街景实况,或是甚至变身成为一个偷窥者。
如果你的网路摄影机非得上网不可,最好不要对着室内拍。密码一定要改,而且应避开热门的4位数字密码。
改密码之余 还要更新韧体但光改密码还是不够的,上述骚扰婴儿事件当中,至少有一次被偷窥者的摄影机明明有设密码,还是被入侵。为什么设了密码还是不够?因为凡软体皆有臭虫(漏洞)。
比方说,微软的Windows 10蛮横霸道上路之后,又强迫Win 7跟Win 8用户安装Telemetry,这里有一大部分原因固然是为了强化监控使用者(抓盗版之类的),但应该也有另一部分真的是为了提升用户安全。至于那些还在採用 Windows XP 上网的用户,则随时都曝露在风险当中,因为微软已经不再帮它做安全更新(实在太旧了,不能怪微软)。
总之,你不时就会听到身旁的人提醒 Windows作业系统需要做安全更新,但是绝大多数的网路摄影机消费者根本不就会想到:那个静静在插座上低调地待了两三年的网路摄影机,原来竟然也需要偶尔更新韧体?
快上网搜寻一下你的网路摄影机品牌就算厂商负责任地迅速推出安全更新,它甚至可能无法通知到所有用户。于是,多数的装置还是继续採用旧的韧体在网际网路上裸奔。反而是好奇的小屁孩跟溃客会根据这些消息迅速地搜寻网路上还有哪些未更新、门户大开的摄影机。
上述骚扰婴儿事件的机器是来自的 Foscam,在3年间有4次重大资安危机,其中2013年4月(另一个连结)跟2014年1月两次有较多的报导。较小的厂牌诸如Loftek跟Wanscam也都出过严重资安问题。更麻烦的是TVT所製造的问题机挂了七十几种不同的品牌,搞不好连这些白牌厂商都不知道自己的机器有问题。
你可以试着用厂牌名称加上"vulnerability"或"hacked"搜寻一下,看看你的网路摄影机有没有出包。如果搜寻到,恭喜你,赶快更新韧体吧!如果没有搜寻到,可能是很幸运地没遇到;也可能是很不幸地连出包都不知道。
其他装置也有可能被入侵网路摄影机被入侵,危害到的可能不只有那部机器本身。最严重的状况下,入侵者取得摄影机的最高控制权(root),等于在你家里放了一部他的(功能有限的)伺服器,或许有可能进而探索家庭网路内的其他装置。
我的建议?没有好的建议。如果我自己需要装,大概不会买现成的,而会自己用Raspberry Pi加上vlc跟open自己组一台才安心。但是这个建议对一般人而言可能不太实际。
网路摄影机的资安问题,比电脑或网路分享器更棘手许多。事实上所有的「物联网(Internet of Things)」类型的产品,可能都有类似的问题,只是网路摄影机的问题特别「显眼」而已。改天再来讨论物联网产品普遍性的资安挑战。
本文获授权转载,原文见资讯人权贵ㄓ疑。
相关文章:
专访趋势科技资深协理张裕敏:万物皆可骇的时代,想要自保必学这三招 未来的:所有物品都上网超方便,但也表示我们进入了万物皆可骇的时代责任编辑︰郑家榆 核稿编辑︰杨士範