2016年5月8日 星期日

你的網路攝影機更新韌體了嗎?

網路攝影機 網路攝影機好方便。 透過它, 你可以從別處用手機連線檢視家裡或公司的影像。 但是既然這些裝置連上網路, 會不會有其他 「網路人甲」 也在偷窺你家, 甚至跟你家裡的小朋友互動呢? 多起案例顯示: 它甚至可能成為潰客入侵你的家用網路的跳板。

也許你想在上班時瞄一下家裡的喵星人在幹嘛, 或是想要從家裡監控員工上班時是否偷懶, 所以在家裡或公司裝了一部隨時連線的網路攝影機 (ip camera)。 如果你連預設密碼都不曾改過, 那就大大不妙了。 請搜尋 「網路攝影機 隱私」, 隨便讀幾個故事。 2011 年的 英文文章 指出: 只要學會下特殊的搜尋條件, 很容易就能搜尋到對全世界公開、 完全不設防的網路攝影機, 包含十字路口、 政府機關、 客廳臥房、 珠寶店、 辦公室、 ... 的場景。 原本想要保護小孩或財產的工具, 如果沒有加以適當的保護, 會不會反而淪為邀請惡意入侵者的明亮招牌呢? 例如協助竊賊研究你們公司的作息時間及保險櫃位置? 「偷窺者透過網路攝影機出聲騷擾嬰兒」 這樣的事件曾經有三次被報導出來; 可以想像: 沒有被報導的事件以及沒有出聲默默偷窺的事件更不知還有多少件。 到了 2015 年, 已經不需要學特殊搜尋條件, 全球未上鎖網路攝影機實況直播 全部被收入一個網站, 你我也都可以輕易地欣賞異國街景實況, 或是甚至變身成為一個偷窺者。

如果你的網路攝影機非得上網不可, 最好不要對著室內拍。 密碼一定要改, 而且應避開 熱門的四位數字密碼

但光改密碼還是不夠的。 上述騷擾嬰兒事件當中, 至少有一次被偷窺者的攝影機明明有設密碼, 但還是被入侵。 為什麼設了密碼還是不夠? 因為 凡人皆有一死 (冰與火之歌) 凡軟體皆有臭蟲。 比方說, 微軟的 windows 10 蠻橫霸道上路 之後, 又 強迫 win 7 跟 win 8 用戶安裝 telemetry, 這裡有一大部分原因固然是為了強化監控使用者 (抓盜版之類的), 但應該也有另一部分真的是為了提升用戶安全。 至於那些還在採用 Windows XP 上網的用戶, 則隨時都曝露在風險當中, 因為微軟已經不再幫它做安全更新。 (實在太舊了, 不能怪微軟。) 總之, 你不時就會聽到身旁的人提醒 windows 作業系統需要做安全更新; 但是絕大多數的網路攝影機消費者 根本不就會想到: 那個靜靜在插座上低調地待了兩三年的網路攝影機, 原來竟然也需要偶爾更新韌體? 就算廠商負責任地迅速推出安全更新, 它甚至可能無法通知到所有用戶。 於是, 多數的裝置還是繼續採用舊的韌體在網際網路上裸奔; 反而是好奇的小屁孩跟潰客會根據這些消息迅速地搜尋網路上還有哪些未更新、 門戶大開的攝影機。

上述騷擾嬰兒事件的機器是 來自中國的 foscam 在三年間有四次重大資安危機, 其中 2013 年 4 月 另一個連結) 跟 2014 年 1 月 兩次有較多的報導。 較小的廠牌諸如 Loftek Wanscam 也都出過嚴重資安問題。 更麻煩的是 TVT 所製造的問題機 掛了七十幾種不同的品牌, 搞不好連這些白牌廠商都不知道自己的機器有問題。 你可以試著用廠牌名稱加上 vulnerability 或 hacked 搜尋一下, 看看你的網路攝影機有沒有出包。 如果搜尋到, 恭喜你, 趕快更新韌體吧! 如果沒有搜尋到, 可能是很幸運地沒遇到; 也可能是很不幸地連出包都不知道。

網路攝影機被入侵, 危害到的可能不只有那部機器本身。 最嚴重的狀況下, 入侵者取得攝影機的最高控制權 (root), 等於在你家裡放了一部他的 (功能有限的) 伺服器, 或許有可能進而探索家庭網路內的其他裝置。

我的建議? 沒有好的建議。 如果我自己需要裝, 大概不會買現成的, 而會自己用 raspberry pi 加上 vlc 跟 openvpn 自己組一臺才安心。 但是這個建議對一般人而言可能不太實際。

網路攝影機的資安問題比電腦或網路分享器更棘手許多。 事實上所有的 「物聯網 (Internet of Things)」 類型的產品, 可能都有類似的問題。 即使以我這種 (不太高級的) 資安能力, 都可以舉出許多原因說明為何目前的 IoT 根本就是一個 危物聯網。 本篇所談的網路攝影機, 只是比別的 IoT 更 "顯眼" 一些而已。

* * * * *

(本文也刊載於 泛科技)

3 則留言:

  1. https://github.com/ccrisan/motioneyeos/wiki

    回覆刪除
    回覆
    1. 作者已經移除這則留言。

      刪除
  2. IoT或smartXXX之類的家電終會有類似的問題,這些終端沒有鍵盤螢幕,容易讓人輕忽它存在的安全問題

    回覆刪除