網路攝影機好方便?不想給全世界偷窺,改密碼只是第一步

網路攝影機好方便?不想給全世界偷窺,改密碼只是第一步
Remixed Image. Original Image Credits: Laitr Keiows, GNOME icon artists CC BY-SA 3.0
我們想讓你知道的是

如果你的網路攝影機非得上網不可,最好不要對著室內拍。密碼一定要改,而且應避開熱門的4位數字密碼,但光改密碼還是不夠的。

網路攝影機好方便,透過它,你可以從別處用手機連線檢視家裡或公司的影像。但是既然這些裝置連上網路,會不會有其他「網路人甲」也在偷窺你家,甚至跟你家裡的小朋友互動呢?多宗案例顯示:它甚至可能成為潰客(cracker)入侵你的家用網路的跳板。

也許你想在上班時瞄一下家裡的喵星人在幹嘛,或是想要從家裡監控員工上班時是否偷懶,所以在家裡或公司裝了一部隨時連線的網路攝影機(IP camera)。如果你連預設密碼都不曾改過,那就大大不妙了。請搜尋「網路攝影機 隱私」,隨便讀幾個故事。

不設防的網路攝影機 讓全世界看到你家

2011年的文章指出:只要學會下特殊的搜尋條件,很容易就能搜尋到對全世界公開、完全不設防的網路攝影機,包含十字路口、政府機關、客廳臥房、珠寶店、辦公室… …的場景。原本想要保護小孩或財產的工具,如果沒有加以適當的保護,會不會反而淪為邀請惡意入侵者的明亮招牌呢?例如協助竊賊研究你們公司的作息時間及保險櫃位置?

「偷窺者透過網路攝影機出聲騷擾嬰兒」這樣的事件曾經有三次被報導出來,可以想像:沒有被報導的事件以及沒有出聲默默偷窺的事件更不知還有多少件。到了2015年,已經不需要學特殊搜尋條件,全球未上鎖網路攝影機實況直播全部被收入一個網站,你我也都可以輕易地欣賞異國街景實況,或是甚至變身成為一個偷窺者。

如果你的網路攝影機非得上網不可,最好不要對著室內拍。密碼一定要改,而且應避開熱門的4位數字密碼

改密碼之餘 還要更新韌體

但光改密碼還是不夠的,上述騷擾嬰兒事件當中,至少有一次被偷窺者的攝影機明明有設密碼,還是被入侵。為什麼設了密碼還是不夠?因為凡軟體皆有臭蟲(漏洞)。

比方說,微軟的Windows 10蠻橫霸道上路之後,又強迫Win 7跟Win 8用戶安裝Telemetry,這裡有一大部分原因固然是為了強化監控使用者(抓盜版之類的),但應該也有另一部分真的是為了提升用戶安全。至於那些還在採用 Windows XP 上網的用戶,則隨時都曝露在風險當中,因為微軟已經不再幫它做安全更新(實在太舊了,不能怪微軟)。

總之,你不時就會聽到身旁的人提醒 Windows作業系統需要做安全更新,但是絕大多數的網路攝影機消費者根本不就會想到:那個靜靜在插座上低調地待了兩三年的網路攝影機,原來竟然也需要偶爾更新韌體?

快上網搜尋一下你的網路攝影機品牌

就算廠商負責任地迅速推出安全更新,它甚至可能無法通知到所有用戶。於是,多數的裝置還是繼續採用舊的韌體在網際網路上裸奔。反而是好奇的小屁孩跟潰客會根據這些消息迅速地搜尋網路上還有哪些未更新、門戶大開的攝影機。

上述騷擾嬰兒事件的機器是來自中國的 Foscam在3年間有4次重大資安危機,其中2013年4月另一個連結)跟2014年1月兩次有較多的報導。較小的廠牌諸如LoftekWanscam也都出過嚴重資安問題。更麻煩的是TVT所製造的問題機掛了七十幾種不同的品牌,搞不好連這些白牌廠商都不知道自己的機器有問題。

你可以試著用廠牌名稱加上"vulnerability"或"hacked"搜尋一下,看看你的網路攝影機有沒有出包。如果搜尋到,恭喜你,趕快更新韌體吧!如果沒有搜尋到,可能是很幸運地沒遇到;也可能是很不幸地連出包都不知道。

其他裝置也有可能被入侵

網路攝影機被入侵,危害到的可能不只有那部機器本身。最嚴重的狀況下,入侵者取得攝影機的最高控制權(root),等於在你家裡放了一部他的(功能有限的)伺服器,或許有可能進而探索家庭網路內的其他裝置。

我的建議?沒有好的建議。如果我自己需要裝,大概不會買現成的,而會自己用Raspberry Pi加上vlc跟openvpn自己組一臺才安心。但是這個建議對一般人而言可能不太實際。

網路攝影機的資安問題,比電腦或網路分享器更棘手許多。事實上所有的「物聯網(Internet of Things)」類型的產品,可能都有類似的問題,只是網路攝影機的問題特別「顯眼」而已。改天再來討論物聯網產品普遍性的資安挑戰。

本文獲授權轉載,原文見資訊人權貴ㄓ疑

相關文章:

責任編輯︰鄭家榆
核稿編輯︰楊士範