部分摄像头服务协议漏洞 4万多个直播内容泄露

发布时间:2016-02-26 16:29 作者:360网络攻防实验室来源:360安全播报点击:加载中...次

　　从易牙烹子看网络摄像头漏洞的危害

最近总是迷恋历史，杂七杂八的历史故事看了几篇，颇有些疑问。

我老发闷一些古装剧电视剧中，皇帝去世了，不管是三宫六院，还是大臣王公，甚至路人都哭天抢地，全面一致，真发自肺腑的？身边一个总是练咏春的女汉子反问我：“人家都哭，你不哭，行吗？都盯着你呢。”

原来如此，最怕的是被盯住，人人都是电子眼，你必须保证自己能“滥竽充数”，否则会被枪打出头鸟。

我发现，及时在密室里，也有电子眼。皇帝看起来权力至高无上，却又不能自由行，他要受到三公九卿的钳制，尤其左右丞相也对皇上有“留中不发”的权力。另外，皇上身边都有“实录”，皇上今天说了什么做了什么，见了谁，骚扰了哪个宫女，尤其是临幸了哪个妃子都得记下来，要不然后宫佳丽太多，生个孩子都不知道是谁的。皇上跟底下人的那点龌龊事很容易被写进“前朝史”

春秋五霸之一的齐桓公有个厨师叫易牙，齐桓公很喜欢他烧的菜，但是吃多了也腻歪，老乡调调花样：“寡人尝遍鸟兽虫鱼之儿遍矣，所不知者，人肉味何如耳。“午膳时候，易牙献蒸肉一盘，嫩如乳羊，而甘美过之。桓公问：“你他妈蒸的什么肉这么好吃。”易牙跪而对曰：“我长子三岁了，忠君者不有其家，君未尝人味，故杀子以适君之口。

比易牙不要脸的人多了去了，但是就是他“易牙烹子”这么丢人的事情能流传下来，肯定旁边有个人在旁边拿着笔等着实录，那个人在现代可能就是电子眼。

言归正传！本公今天开始说说摄像头漏洞的事情。

网络摄像机作为安防设备，被广泛的用于交通、学校、企业、商场等公共场所，日常生活中已经无处不在的“电子眼”，并且智能“电子眼”开始逐步走入家庭中。视频安全也备受瞩目，假如女神狼吞虎咽吃烤白薯的内容放到大庭广众之下，女神肯定不乐意。

但是，一些网络摄像机为方便管理员远程监控，一般会有公网IP(或端口映射)，接入互联网。因此许多暴露在公网的网络摄像机也成了黑客眼中的目标。也就是说，女神吃烤白薯真成为直播内容。

近日，国外多篇关于通过RTSP未授权访问来获取摄像头内容的报道引起了关注，360攻防实验室对其进行了研究统计，本公也进行了探访。

　　40000视频内容曝光卧室被直播

“事实上，这些摄像头拍摄画面的截屏来自国外一家著名的搜索网站。”工程师介绍，他们在网站看到了大批视频截图，有交通路况等等，这些不足为奇，但是竟然也有一些客厅、卧室的场景，工程师觉得这就不正常了。

更不正常的是，很多家庭、卧室里都有很明显的中国标志物品，也就是说，这批被上网的视频截图很多都是中国家庭室内场景。

但是，这些地址是可以通过IP地址正常查询的，只要有一定技术的安全人员或者黑客都可以查询。

本公在工程师帮助下对一个IP地址进行了查询，过VLC等视频播放软件打开RTSP地址实时查看摄像头，可以看到这是一家用于居民防盗的摄像头，可以从视频中看到实时画面，场面十分清楚，不过让各位看管失望了，本公工作繁忙，加上为人正派，没有看你家女神洗澡等不堪入目的画面。

不过根据工程师提供的之前的一些画面，本公也看到了一些卧室中的镜头，比如一名男子在卧室休息的图片，姿势那个随意，让本公好羞羞。

360攻防实验室经过追踪扫描发现，利用该漏洞可访问的RTSP服务器多达131万，无需认证就可直接获取到的视频内容为45488个。其中，中国以18230个视频内容成为重灾区，位居榜首；美国、日本、荷兰等国家紧随其后。而在中国的18230个无需认证的即可访问的RTSP服务中，有11227个位于台湾地区，台湾也成为世界范围内受该漏洞影响最大的地区。

　　解读：协议有漏洞用户不小心造成泄露

360攻防实验室发布的工程师介绍，最新曝光的摄像头漏洞是通过RTSP未授权访问来获取摄像头内容。

这些摄像头均使用了RTSP服务及协议，RTSP(Real Time Streaming Protocol)，实时流传输协议，是TCP/IP协议体系中的一个应用层协议，该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据，被广泛用于视频直播领域。RTSP协议的默认端口是554，默认的承载协议为TCP。

听不懂是不是？我也看不懂。但是为我的读者服务是本公不变的宗旨，本公查了一下，这个协议由哥伦比亚大学、网景和RealNetworks公司提交的一个标准，可以一对多应用程序通过IP网络传送多媒体数据。

这个协议用途也比较广泛、实时监控、视频直播、摄像头直播等等都用到。

还是不知道这东西到底是个什么鬼？我来打一个比方，比如你使用了QQ即时通讯服务，QQ有后台服务器，前端有个软件，你输入账号密码，然后使用这个即时通讯软件的服务，当然你要遵守人家QQ的通讯协议。

你要聊天，腾讯公司就要对你的内容加密，避免让你把妹的那些不堪入目的情话公开，怎么实现？必须要给你提示输入账号密码。

但是问题来了，许多摄像头厂商根本没脑子，他们在摄像头或NVR中开启RTSP服务器，用户可通过VLC等视频播放软件打开rtsp地址进行摄像头画面的实时查看。许多厂商并没有给rtsp地址做身份认证，导致任何人都可以在未经授权的情况下直接通过地址观看到摄像头的实时内容。

也就是说，你上QQ，厂商忘了提醒你输入账号密码了，恰好你也没注意，又需要远程查看，就被直播了。

(责任编辑：安博涛)