智能產品的普及與其保安的發展並沒有成正比,安裝在用戶安樂窩的裝置也可能產生保安缺口,其中一種常見的裝置,就是近年相當普及的網絡攝錄機,用戶中有家長用來監察家中的小孩、主人觀看家中的寵物,又或者家傭的工作情況等等,大家原意都是為了增加安全,但是令人意料不到的,是產品說明書上每項功能都可能存在安全漏洞。
家居保安攝錄機發現大量安全漏洞
近日卡巴斯基實驗室的研究人員,就在 Hanwha Techwin 一款家居攝錄機上找到 13 處安全漏洞!該公司原本是 Samsung的子公司,在數年前易手,直至 2017 年底仍然以 Samsung 的品牌生產受影響的攝錄機。該攝錄機定位為適合用於嬰兒房、一般家庭和小型辦公室,具夜視、動態捕捉和透過智能裝置即時串流,甚至是透過內置揚聲器發出聲音。
用戶可以利用桌面電腦或流動裝置通過雲端服務控制攝錄機,不過因為存在安全漏洞,攝錄機也容許其他人士進行非法操控,令攻擊者提供大量機會,以下是一部份的例子。
貪天換日
盜賊更換串流的影片,就像電影情節一樣,令保安無法察覺現場已經被賊人入侵,不過已不再是電影的情節,有心人可以透過安全漏洞進行以上行為,然後入侵裝置位處的家居或辦公室。此外,研究人員也成功攔截串流的影像,入侵音效頻道和取得裝置的位置資料,如此一來安全漏洞令攻擊者能夠掌握裝置的實際位置、調查用戶或員工的習慣,再小心部署入侵的計劃,這一切全部可以透過互聯網進行。
盜用資料濫發訊息
如果認為以上的攻擊太電影情節,現實一點的情況就是向用戶和用戶的朋友濫發訊息。由於現時很多網絡攝錄機都具備與社交媒體或網上服務進行資料交換的功能,以通知用戶在監察位置發現特殊狀況,但是因為裝置的安全漏洞,黑客不但取得用戶的帳號資料,同時也能向用戶的朋友發送訊息,進行病毒或詐騙訊息傳播。
黑客如果想避免被追蹤,可以簡單地完全破壞用戶的攝錄機,但很多時候攻擊者都會進行惡作劇,使用內建的揚聲器,在這方便就不多加詳述,但是讓陌生人和家中的小孩「聊天」,也絕非一個令人能夠安心的情況。
殭屍網絡攻擊
早在數年之前,世界已經體驗過 IoT 殭屍網絡的威力,數以千計的智能裝置在犯罪份子的控制之下同時發動攻擊。Hanwha Techwin 的產品也不例外,只要有足夠數量的攝錄機被入侵,就能利用它們發動 DDoS 攻擊,又或者進行流行的加密貨幣「挖礦」活動,甚至是感染相同網絡內其他的裝置。
危險的未來?
除了家庭和辦公室用的攝錄機,Hanwha 同時也生產工業用的閉路電視系統,而且根據公司的資料,自動行走的砲擊車輛和自動機關砲塔也是該公司的出品,因為無法進行網絡安全測試,只好希望公司對該類型產品以保安為首要考慮項目。
卡巴斯基實驗室的研究人員已經通知 Hanwha 相關產品的漏洞問題,大部份漏洞已經修復,不過除非智能裝置的生產商在生產初期,已經認真考慮到網絡安全問題,否則用戶只能夠採取以下措施加強防範。
– 在使用智能裝置前三思,確定真的有需要使用,並在互聯網上搜尋相關產品的資料,包括入侵裝置和已知的安全漏洞等。
– 瞭解自己擁有的裝置以減低風險,使用 Kaspersky IoT Scanner ,免費的 Android 應用程式,檢查用戶 Wi-Fi 網絡和已連接的裝置是否存在風險。