數百萬台監視攝影機與其他萬物聯網(IoT ,Internet of Thing) 裝置被發現其點對點 (P2P) 通訊功能含有資安漏洞。此漏洞可能讓這些裝置的登入憑證遭到竊取,或者裝置遭到竊聽、挾持、遠端攻擊等等。
資安研究人員 Paul Marrapese 向 KrebsOnSecurity 表示,iLnkP2P 的資安風險來自於該 P2P 韌體元件本身的漏洞,而此元件廣泛內建於各種 IoT 裝置當中,如:嬰兒監視器、IP 攝影機、智慧門鈴、數位錄影機 (DVR) 等等。此元件可讓使用者從遠端存取裝置而不需修改家中的防火牆設定。簡單來說,該元件可以讓裝置透過 P2P 通訊協定與廠商的伺服器通訊。
這些含有漏洞的裝置,每一台都有一個獨特的序號 (稱為 UID) , 該序號的英文前置碼代表裝置的製造商。您可參考這份前置碼清單來找到有使用 iLnkP2P 的廠商與產品。若您看到自己的裝置 UID (通常貼在裝置底部) 前置碼列在清單上的話,就表示您的裝置含有這項漏洞。除此之外,使用以下 Android 應用程式的裝置也可能含有此漏洞:
繼續閱讀
研究人員 Mike Olsen 提出警告,Amazon 上販賣的某些產品暗藏了惡意程式。根據 Olsen 的說法,他在調校一批向朋友購買的戶外型監視攝影機時發現攝影機暗藏了惡意程式。而販售的廠商 Urban Security Group (USG) 在網路上的評價大致良好,而且還針對了某款 Sony 攝影機提供特惠組合方案。
[延伸閱讀:智慧科技是否真如我們想像的無害?]
Olsen 在他的部落格當中詳細說明了攝影機的軟體介面可看到監視畫面,但管理畫面卻看不到其他正常該有的設定功能。Olsen 說:「我只是像其他人一樣,懷疑這應該是 CSS 沒設好,所以就叫出開發人員工具。」但他並未找到他想要的選項,反而發現 <body> 標籤底下偷偷暗藏了一個 <iFrame> 標籤。這個 iFrame 會連上一個「看似非常奇怪的」主機名稱。他到 Google 上搜尋後發現,該主機名稱會連上某個專門散布惡意程式的網站。此惡意網站曾在 2009 年遭到關閉,但 2011 年又被人發現它會讓一些網站感染指向惡意網域的 iFrame。發現這件事之後,Olsen 立即向 Amazon 反映,該網站後來向他表示將會聯繫攝影機廠商 (USG)。
家用監視攝影機確實是提升居家及工作場所安全的一個不錯工具。但為了即時觀看監視畫面,您必須讓監視攝影機連上網際網路。而且,較新型的攝影機甚至可以從遠端遙控,好讓使用者操控單一攝影機來監視一大片區域。科技智慧化的結果,人們可以很方便地透過網路來查看監視攝影畫面,但這也讓其他連上網路的人都有機會看到。任何未經授權的人,只需具備特殊的工具和專業知識就能辦到。
[延伸閱讀:您在購買智慧型家用裝置時該注意些什麼?]
這項驚人的發現提醒了我們,在採購任何東西時都應小心謹慎。除此之外,我們也應引以為戒,有些問題,固然應該由裝置廠商出面解決,但使用者仍須謹記一些智慧型裝置的使用原則,包括:務必變更預設的登入帳號密碼,以及使用不易猜測的密碼來確保網路安全,並且保障使用者隱私權。