不久前,《財經》雜誌刊登《失控的攝像頭》和央視訊道播出的《第一時間》針對基於智慧攝像頭引發的安全問題作了詳細報導。越來越多的實際案例在提醒大眾,用作安全防護的智慧攝像頭若自身出現安全問題將反倒變成“偷窺神器”,變成安防入口的風險點之一,安防入口的第一道防線加固迫在眉睫。
隨著技術的發展、產業的逐步成熟,物聯網市場規模持續穩步增長,物聯網應用更是滲透工作和生活的方方面面。智慧攝像頭作為身份認證和安防等重要環節,在家居、汽車、無人機、機器人、AR 等已有廣泛使用。為構建安防領域視訊資訊入口第一道防線,國家出臺了一系列規範標準和指導意見,相關科研機構和企業也在積極進行安全加固技術和方案研究。幾維安全作為專注於移動安全與物聯網安全的技術型企業,也結合自身技術和實踐經驗,對智慧攝像頭的風險漏洞及防護策略進行了探索和分析。
基於智慧攝像頭的主要應用及發展態勢
中國經濟資訊社釋出了《2017—2018年中國物聯網發展年度報告》分析認為,2017年以來,全球物聯網裝置規模、普及率和企業級應用專案呈爆發式增長,全球物聯網市場有望在十年內實現大規模普及,到2025年市場規模或將成長至3.9-11.1萬億美元。
2017年以來,物聯網在交通、物流、環保、醫療、安防、電力等領域逐漸
得到規模化驗證,“物聯網+行業應用”的細分市場開始出現分化,智慧城市、工業物聯網、車聯網、智慧家居成為四大主流細分市場。其中,作為實現身份認證、視訊監控等安防功能基礎硬體的智慧攝像頭部署也越來越多。據相關研究機構資料顯示,目前世界上的攝像頭總數約為14萬億個,到2022年,全球攝像頭總量將達到44萬億部。
基於智慧攝像頭的安防應用主要包括:
基於車輛影像、視訊採集等輔助進行交通違章監控、停車場車輛管理等;
主要包括絆線、周界防範、物品遺留、物品丟失、人員聚集等;
通過人臉檢測和人臉對比,實現輔助計數和目標偵測、門禁許可權控制、考勤、重要人物識別、身份識別等。
通過人物體態、人體特徵等資訊採集協助實現遠端醫療等。
基於視訊採集應用的安全隱患分析
根據國家資訊保安漏洞共享平臺統計月報顯示,漏洞主要集中在應用程式、Web應用、作業系統等方面,其中應用程式漏洞型別佔到一半以上,以近兩月統計資料為例,應用程式漏洞分別為59%、56%。
從安防領域基於智慧攝像頭作為視訊資訊入口的基礎環節進行分析,除攝像頭硬體本身安全性以外,主要還包括視訊資訊傳輸的通道安全、雲平臺安全和終端安全三部分。
針對功能實現的主要環節,其安全風險包括:
通過攝像頭的升級功能和Linux漏洞,載入非法程式,將攝像頭做為跳板,攻擊物聯網系統或內網。
目前智慧攝像頭系統廣泛使用口令(弱口令、預設口令)的方式進行身份鑑別,只要輸入密碼正確,就可訪問監控影像。
視訊通過網路向視訊監控服務商、網路服務商和運營商傳輸過程中,非法人員可以擷取網路訊號,獲得視訊。
通過破解攝像頭程式碼後仿照攝像頭控制訊號,隨意控制攝像頭。
目前,智慧攝像頭支援通過授權App訪問控制,但大多數App未經安全保護,成為黑客攻擊的主要入口。
入侵視訊傳輸網路,控制攝像頭視訊碼流傳送順序,反覆傳送固定視訊影像。
改變視訊源,達到替換視訊的目的。
通過傳輸網路入侵視訊監控中心處理系統,控制後臺視訊伺服器和儲存裝置,獲得更多敏感資訊。
《國內智慧家庭攝像頭安全狀況評估》中對智慧攝像頭進行橫向測評顯示,大部分智慧攝像頭在人機識別、APP客戶端加固、加密傳輸方面均存在安全問題。如:APP未作加固會導致破解難度的極大降低,入侵者可通過逆向分析得到攝像頭原始碼找到控制流程進行破解。騰訊社會研究中心和DCCI網際網路資料研究中心聯合釋出的《網路隱私安全及網路欺詐行為研究分析報告》對1144款手機APP獲取使用者隱私許可權情況進行統計,發現2018年上半年,獲取“開啟攝像頭”許可權的APP比例高達89.9%。
以監控失效和攝像頭被控制利用風險為例進行攻擊原理分析。目前智慧攝像頭主要採用實時聯網,可通過終端(PC/APP)進行監控影像都訪問,攝像頭的業務處理可依靠攝像頭內的韌體程式,攻擊者可能通過對攝像頭韌體進行逆向分析,分析攝像頭韌體對錄視訊功能業務處理的函式,發現存在某檔案格式無法識別的風險點,編輯相關惡意程式,對處理函式傳入無法識別的引數資訊致使錄視訊處理函式卡死崩潰,最終導致視訊監控卡屏造成監控失效。
攻擊者還可對攝像頭韌體上傳檔案的邏輯程式碼進行逆向分析,通過發現客戶端可以無憑證訪問伺服器漏洞,登入伺服器檢視任意攝像頭的實時監控資料,進一步深入分析發現存在管理員的賬號和密碼,並進行硬編碼且將明文保留在韌體內,利用管理員賬號導致攝像頭被控制利用。
入口安全守衛,國家政策
近年來,除了在安防部署所在領域的政策、標準中明確、細化相關指導意見和要求,國家還出臺了一系列專門針對資訊保安、安防安全的政策、法規、規範指引安防行業的發展。如資訊保安等保2.0、GB/T 18336《資訊科技 安全技術 資訊科技安全評估準則》、CSPSH-GF-001《資訊保安技術 安防類智慧聯網產品網路安全技術規範》等。
2018年11月1日,GB35114-2017《公共安全視訊監控聯網資訊保安技術要求》國家強制標準正式實施,並同步審批通過了《社會公共安全領域智慧聯網產品(網路安全) 自願性認證》。
GB35114-2017對公共安全視訊監控的資訊保安提出明確規範要求,是全面加強公共安全視訊監控領域資訊保安的技術依據。該標準從5個方面解決當前公共安全視訊監控存在的資訊保安隱患問題:一是採用基於國密演算法和部件的數字證書裝置身份認證技術,有利於確定裝置身份,解決裝置替換和私接亂接問題;二是基於金鑰的信令認證,解決攝像頭被控制問題;三是基於數字簽名技術,保障重要視訊資料的真實性、完整性,解決視訊證據的可信度問題;四是基於數字證書使用者認證管理,解決未授權使用者訪問視訊資訊問題;五是採用基於視訊幀的端到端視訊加密保護,解決視訊監控系統重要視訊“裸奔”問題。
智慧攝像頭安全防護部署策略分析
針對智慧攝像頭面臨的安全風險,幾維安全採用前端程式碼安全保護+網路傳輸安全+移動應用安全加固,結合程式碼審計、滲透測試、安全接入和行為審計,全面保護以視訊監控為核心的智慧安防系統安全。
前端裝置安全保護:通過程式碼安全保護、程式執行時安全保護、程式碼審計、滲透測試等技術對攝像頭前端裝置進行安全保護。
傳輸通道安全:運用鏈路加密、祕鑰保護、協議保護等技術保護視訊監控系統網路傳輸通道安全。
應用終端安全加固:利用APP加固、資原始檔完整性保護、記憶體保護、上架監測等技術對智慧攝像頭的應用終端進行安全加固保護。
幾維安全智慧攝像頭安全防護方案
結 語
隨著人工智慧、區塊鏈、邊緣計算等技術的迭代演進,以及安防行業在智慧城市、工業物聯網、車聯網、智慧家居等領域的深入應用,安防行業迎來了新一輪技術革命。相對傳統安防,智慧攝像頭作為關係到人、財、物安全的視訊資訊入口第一道防線,需要兼顧考慮終端裝置、傳輸網路和雲平臺多環節整體構建,更需要結合行業、場景特徵進行深度研究和安全防護。未來,幾維安全將在國家政策的指導下,加大對物聯網安防領域的探索和研究,為更多的物聯網廠商提供安全服務。