據(jù)《網(wǎng)絡(luò)空間測(cè)繪系列——2018年攝像頭安全報(bào)告》（簡(jiǎn)稱《攝像頭安全報(bào)告》）顯示，自2017年起攝像頭漏洞呈現(xiàn)爆發(fā)式增長(zhǎng)。截至2018年11月，攝像頭漏洞有221條，較2017全年的186條相比，增長(zhǎng)19％。攝像頭對(duì)公網(wǎng)開放的安全問(wèn)題已是全世界共同面臨的重要挑戰(zhàn)，我國(guó)對(duì)公網(wǎng)開放訪問(wèn)權(quán)限的攝像頭設(shè)備占全球的17％，其中東北最為嚴(yán)重，占全國(guó)三成以上。

安全問(wèn)題愈發(fā)嚴(yán)重

根據(jù)FOFA（網(wǎng)絡(luò)空間安全搜索引擎）統(tǒng)數(shù)據(jù)顯示，截至11月底，全球共有228個(gè)國(guó)家8063個(gè)城市中的2635萬(wàn)攝像頭設(shè)備對(duì)公網(wǎng)開放訪問(wèn)權(quán)限。其中，越南位居第一，共有205萬(wàn)，約占20％；美國(guó)第二，共有183萬(wàn)，約占18％；第三是中國(guó)，共有165萬(wàn)，約占17％。城市方面，墨西哥最多，共有7．5萬(wàn)臺(tái)設(shè)備，約占15％；中國(guó)大連市位居第二，共有7．3萬(wàn)臺(tái)設(shè)備，約占14％；紐約排第三，共有6．7萬(wàn)臺(tái)，約占13％。

中國(guó)各省攝像頭暴露情況方面，遼寧省暴露最多，共有27萬(wàn)臺(tái)設(shè)備，約占22％；廣東省第二，共有16．3萬(wàn)臺(tái)設(shè)備，約占13％；吉林省第三，共有11．2萬(wàn)臺(tái)設(shè)備，約占9％。城市方面，我國(guó)385個(gè)城市實(shí)現(xiàn)了攝像頭設(shè)備的網(wǎng)絡(luò)公開。其中，大連市最多，共有7．3萬(wàn)臺(tái)設(shè)備，約占18％；臺(tái)北第二，共有4．7萬(wàn)臺(tái)設(shè)備，約占11％；第三是北京，共有4．5萬(wàn)臺(tái)設(shè)備，約占11％。

北京華順信安科技有限公司CEO趙武表示，正常的攝像頭的管理都處于內(nèi)部網(wǎng)絡(luò)中，外部無(wú)法訪問(wèn)，但仍有很多因素導(dǎo)致攝像頭對(duì)外部開放，并暴露在互聯(lián)網(wǎng)中。“一是由于跨地域的攝像頭管理需要開放攝像，如通過(guò)路由將攝像頭的相關(guān)端口映射到外網(wǎng)中；二是用戶僅考慮可用性，由于錯(cuò)誤的配置導(dǎo)致直接外網(wǎng)可以訪問(wèn)�！�

這些攝像頭直接公開在互聯(lián)網(wǎng)中，任何連接到互聯(lián)網(wǎng)的人都可以訪問(wèn)到這些攝像頭的設(shè)備。對(duì)外暴露的攝像頭存在巨大的潛在風(fēng)險(xiǎn)，惡意的攻擊者通過(guò)漏洞或弱口令等即可實(shí)現(xiàn)惡意的攻擊�！稊z像頭安全報(bào)告》顯示，攝像頭設(shè)備存在的漏洞類型包括權(quán)限繞過(guò)、拒絕服務(wù)、信息泄漏、跨站、命令執(zhí)行、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷等。其中，權(quán)限繞過(guò)、信息泄漏、代碼執(zhí)行等類型漏洞數(shù)量占比最高，分別占所有漏洞類型總數(shù)的23％、15％和10％。

近兩年諸多攝像頭嚴(yán)重漏洞曝出事件頻發(fā)。2018年6月，Axis攝像頭被ADOO安全公司發(fā)現(xiàn)其設(shè)備的7個(gè)安全漏洞，攻擊者可以利用這些漏洞以root權(quán)限執(zhí)行任意命令。8月，Swann攝像頭被發(fā)現(xiàn)存在訪問(wèn)控制缺陷，該漏洞可以將一個(gè)攝像頭的視頻流切換到另一個(gè)攝像頭上，攻擊者可以利用該漏洞訪問(wèn)任意攝像頭。

需要多方合力

隨著“互聯(lián)網(wǎng)＋”模式的興起，物聯(lián)網(wǎng)呈現(xiàn)出爆發(fā)式增長(zhǎng)和普遍化發(fā)展的趨勢(shì)。如果說(shuō)在互聯(lián)網(wǎng)時(shí)代，硬件和系統(tǒng)漏洞帶來(lái)的危害尚局限于用戶，那么在萬(wàn)物互聯(lián)時(shí)代，由其衍生的危害將拓展至人身安全。

物聯(lián)網(wǎng)中攝像頭的應(yīng)用已經(jīng)遍及城市交通、企業(yè)內(nèi)部、醫(yī)院、銀行、家庭等生產(chǎn)生活的各個(gè)場(chǎng)景。隨著攝像頭使用量的不斷增加和應(yīng)用場(chǎng)景的不斷拓展，攝像頭安全之于社會(huì)生活、生產(chǎn)的重要性日趨顯著。但值得注意的是，攝像頭應(yīng)用已形成一條集黑客破解、買賣、偷窺于一體的視頻攝像頭網(wǎng)絡(luò)黑產(chǎn)鏈。

趙武表示，攝像頭危害較大的原因一方面是源于設(shè)備數(shù)量眾多，安全性被使用者忽視。廉價(jià)的攝像頭、監(jiān)視器等物聯(lián)網(wǎng)應(yīng)用產(chǎn)品大量出現(xiàn)，但這些產(chǎn)品往往沒(méi)有采取任何安全措施，黑客能夠輕易地控制它們；另一方面，隨著物聯(lián)網(wǎng)設(shè)備的增多，硬件難以更新。未來(lái)僵尸網(wǎng)絡(luò)的規(guī)模會(huì)越來(lái)越大，攻擊能力越來(lái)越強(qiáng)。

華順信安安全總監(jiān)吳明介紹，根據(jù)高盛等市場(chǎng)研究公司日前發(fā)布的數(shù)據(jù)顯示，截止到2017年，世界上的攝像頭總數(shù)約為14萬(wàn)億個(gè)；到2022年，全球攝像頭總量將增至44萬(wàn)億個(gè)。而需注意的是，對(duì)于手機(jī)來(lái)說(shuō)，假設(shè)全球每人都使用兩臺(tái)，全球手機(jī)數(shù)目也不過(guò)150億臺(tái)左右。“這一數(shù)量等級(jí)的差距，決定了攝像頭的監(jiān)管和使用很難做到面面俱到，也不可能像手機(jī)一樣做到一對(duì)一監(jiān)管�！�

趙武認(rèn)為，攝像頭設(shè)備應(yīng)用的特點(diǎn)決定攝像頭的安全問(wèn)題應(yīng)將國(guó)家、企業(yè)和個(gè)人都納入在內(nèi)；應(yīng)從標(biāo)準(zhǔn)制定、資產(chǎn)排查、風(fēng)險(xiǎn)監(jiān)測(cè)、漏洞修復(fù)等多個(gè)方面提高攝像頭的安全性。