怎么防范黑客破解智能摄像头?
智能摄像头通常是指无须连接电脑,直接使用Wi-Fi联网,搭载手机App后,可远程实时查看监控环境的智能家居产品。安装门槛低、操作简单、功能强大等特点,受到了广大用户的青睐。而黑客之所以能破解智能摄像头,回溯其设计和生产过程,不难从4方面发现问题。
1、访问控制方面
用户使用了弱口令。据统计,遭受攻击的用户中,账号名称大多为user、admin,密码则是abc、123456等,复杂程度较低,经不起推敲,而厂商也未对用户的密码复杂程度进行限制。二是未限制默认账户的访问权限。出于方便用户使用和在线升级维护等原因,一般情况下,厂商不会对默认账户的访问权限进行限制,否则可能会导致某些功能无法正常使用,黑客则恰好利用这一便利条件发起攻击。
2、身份鉴别方面
厂商未提供登录失败处理功能,不能有效防范黑客的暴力破解和非法攻击。二是智能摄像头未采取结束会话、限制非法登录和超时自动退出等措施,使用户易遭受重放攻击,即黑客盗取代表用户身份的认证凭据后,再把它重新发给认证服务器,以达到欺骗的目的。而“账户+口令”的认证方式本身安全性就较弱,应采用电子密码器、身份认证卡等更高级的方式,保护用户身份不被冒用。
3、数据加密方面
用户账号、密码明文存储,或用户注册信息可被随意查看,从而使黑客轻而易举地取得管理权限。二是厂商后台存有漏洞,致使海量视频监控数据被非法下载。三是监控视频存储于本地或云端,尤其是存储于本地的数据,未经加密处理,无法保证安全性,黑客下载后可直接使用。
4、更新功能方面
一是部分厂商为日后远程调试设备,便于售后服务等原因,特意留下了“后门”,这种“后门”一般具有较高的权限,能够修改智能摄像头信息,甚至篡改设备本身,为黑客非法操控留下了可乘之机。二是部分厂商未提供系统和固件的更新功能,不能及时修补漏洞,一旦黑客扫描到系统漏洞并发起攻击,系统不能及时响应和防护,造成了被动挨打的局面。