不久前,《財經》雜志刊登《失控的攝像頭》和央視頻道播出的《第一時間》針對基於智能攝像頭引發的安全問題作了詳細報道。越來越多的實際案例在提醒大眾,用作安全防護的智能攝像頭若自身出現安全問題將反倒變成“偷窺神器”,變成安防入口的風險點之一,安防入口的第一道防線加固迫在眉睫。
隨着技術的發展、產業的逐步成熟,物聯網市場規模持續穩步增長,物聯網應用更是滲透工作和生活的方方面面。智能攝像頭作為身份認證和安防等重要環節,在家居、汽車、無人機、機器人、AR 等已有廣泛使用。為構建安防領域視頻信息入口第一道防線,國家出台了一系列規范標准和指導意見,相關科研機構和企業也在積極進行安全加固技術和方案研究。幾維安全作為專注於移動安全與物聯網安全的技術型企業,也結合自身技術和實踐經驗,對智能攝像頭的風險漏洞及防護策略進行了探索和分析。
基於智能攝像頭的主要應用及發展態勢
中國經濟信息社發布了《2017—2018年中國物聯網發展年度報告》分析認為,2017年以來,全球物聯網設備規模、普及率和企業級應用項目呈爆發式增長,全球物聯網市場有望在十年內實現大規模普及,到2025年市場規模或將成長至3.9-11.1萬億美元。
2017年以來,物聯網在交通、物流、環保、醫療、安防、電力等領域逐漸
得到規模化驗證,“物聯網+行業應用”的細分市場開始出現分化,智慧城市、工業物聯網、車聯網、智能家居成為四大主流細分市場。其中,作為實現身份認證、視頻監控等安防功能基礎硬件的智能攝像頭部署也越來越多。據相關研究機構數據顯示,目前世界上的攝像頭總數約為14萬億個,到2022年,全球攝像頭總量將達到44萬億部。
基於智能攝像頭的安防應用主要包括:
-
車輛分析
基於車輛圖像、視頻采集等輔助進行交通違章監控、停車場車輛管理等;
-
基礎行為分析
主要包括絆線、周界防范、物品遺留、物品丟失、人員聚集等;
-
身份認證
通過人臉檢測和人臉對比,實現輔助計數和目標偵測、門禁權限控制、考勤、重要人物識別、身份識別等。
-
人體分析
通過人物體態、人體特征等信息采集協助實現遠程醫療等。
基於視頻采集應用的安全隱患分析
根據國家信息安全漏洞共享平台統計月報顯示,漏洞主要集中在應用程序、Web應用、操作系統等方面,其中應用程序漏洞類型占到一半以上,以近兩月統計數據為例,應用程序漏洞分別為59%、56%。
從安防領域基於智能攝像頭作為視頻信息入口的基礎環節進行分析,除攝像頭硬件本身安全性以外,主要還包括視頻信息傳輸的通道安全、雲平台安全和終端安全三部分。
針對功能實現的主要環節,其安全風險包括:
-
以攝像頭為跳板
通過攝像頭的升級功能和Linux漏洞,加載非法程序,將攝像頭做為跳板,攻擊物聯網系統或內網。
-
身份鑒別
目前智能攝像頭系統廣泛使用口令(弱口令、默認口令)的方式進行身份鑒別,只要輸入密碼正確,就可訪問監控圖像。
-
視頻竊取
視頻通過網絡向視頻監控服務商、網絡服務商和運營商傳輸過程中,非法人員可以截取網絡信號,獲得視頻。
-
遠程控制
通過破解攝像頭代碼后仿照攝像頭控制信號,隨意控制攝像頭。
目前,智能攝像頭支持通過授權App訪問控制,但大多數App未經安全保護,成為黑客攻擊的主要入口。
-
傳輸網絡入侵
入侵視頻傳輸網絡,控制攝像頭視頻碼流發送順序,反復發送固定視頻圖像。
-
數據替換
改變視頻源,達到替換視頻的目的。
-
攻擊雲平台
通過傳輸網絡入侵視頻監控中心處理系統,控制后台視頻服務器和存儲設備,獲得更多敏感信息。
《國內智能家庭攝像頭安全狀況評估》中對智能攝像頭進行橫向測評顯示,大部分智能攝像頭在人機識別、APP客戶端加固、加密傳輸方面均存在安全問題。如:APP未作加固會導致破解難度的極大降低,入侵者可通過逆向分析得到攝像頭源代碼找到控制流程進行破解。騰訊社會研究中心和DCCI互聯網數據研究中心聯合發布的《網絡隱私安全及網絡欺詐行為研究分析報告》對1144款手機APP獲取用戶隱私權限情況進行統計,發現2018年上半年,獲取“打開攝像頭”權限的APP比例高達89.9%。
以監控失效和攝像頭被控制利用風險為例進行攻擊原理分析。目前智能攝像頭主要采用實時聯網,可通過終端(PC/APP)進行監控圖像都訪問,攝像頭的業務處理可依靠攝像頭內的固件程序,攻擊者可能通過對攝像頭固件進行逆向分析,分析攝像頭固件對錄視頻功能業務處理的函數,發現存在某文件格式無法識別的風險點,編輯相關惡意程序,對處理函數傳入無法識別的參數信息致使錄視頻處理函數卡死崩潰,最終導致視頻監控卡屏造成監控失效。
攻擊者還可對攝像頭固件上傳文件的邏輯代碼進行逆向分析,通過發現客戶端可以無憑證訪問服務器漏洞,登錄服務器查看任意攝像頭的實時監控數據,進一步深入分析發現存在管理員的賬號和密碼,並進行硬編碼且將明文保留在固件內,利用管理員賬號導致攝像頭被控制利用。
入口安全守衛,國家政策
近年來,除了在安防部署所在領域的政策、標准中明確、細化相關指導意見和要求,國家還出台了一系列專門針對信息安全、安防安全的政策、法規、規范指引安防行業的發展。如信息安全等保2.0、GB/T 18336《信息技術 安全技術 信息技術安全評估准則》、CSPSH-GF-001《信息安全技術 安防類智能聯網產品網絡安全技術規范》等。
2018年11月1日,GB35114-2017《公共安全視頻監控聯網信息安全技術要求》國家強制標准正式實施,並同步審批通過了《社會公共安全領域智能聯網產品(網絡安全) 自願性認證》。
GB35114-2017對公共安全視頻監控的信息安全提出明確規范要求,是全面加強公共安全視頻監控領域信息安全的技術依據。該標准從5個方面解決當前公共安全視頻監控存在的信息安全隱患問題:一是采用基於國密算法和部件的數字證書設備身份認證技術,有利於確定設備身份,解決設備替換和私接亂接問題;二是基於密鑰的信令認證,解決攝像頭被控制問題;三是基於數字簽名技術,保障重要視頻數據的真實性、完整性,解決視頻證據的可信度問題;四是基於數字證書用戶認證管理,解決未授權用戶訪問視頻信息問題;五是采用基於視頻幀的端到端視頻加密保護,解決視頻監控系統重要視頻“裸奔”問題。
智能攝像頭安全防護部署策略分析
針對智能攝像頭面臨的安全風險,幾維安全采用前端代碼安全保護+網絡傳輸安全+移動應用安全加固,結合代碼審計、滲透測試、安全接入和行為審計,全面保護以視頻監控為核心的智能安防系統安全。
-
前端設備安全保護:通過代碼安全保護、程序運行時安全保護、代碼審計、滲透測試等技術對攝像頭前端設備進行安全保護。
-
傳輸通道安全:運用鏈路加密、秘鑰保護、協議保護等技術保護視頻監控系統網絡傳輸通道安全。
-
應用終端安全加固:利用APP加固、資源文件完整性保護、內存保護、上架監測等技術對智能攝像頭的應用終端進行安全加固保護。
幾維安全智能攝像頭安全防護方案
結 語
隨着人工智能、區塊鏈、邊緣計算等技術的迭代演進,以及安防行業在智慧城市、工業物聯網、車聯網、智能家居等領域的深入應用,安防行業迎來了新一輪技術革命。相對傳統安防,智能攝像頭作為關系到人、財、物安全的視頻信息入口第一道防線,需要兼顧考慮終端設備、傳輸網絡和雲平台多環節整體構建,更需要結合行業、場景特征進行深度研究和安全防護。未來,幾維安全將在國家政策的指導下,加大對物聯網安防領域的探索和研究,為更多的物聯網廠商提供安全服務。