海康威视于上个月修复了一个高危漏洞，该漏洞影响摄像头、DVR及相关账户。

很多人用安全摄像头都不带改默认管理员用户名和口令的——意味着只要知道去看哪儿，这些人的生活就是一场持续的现场直播。尽管海康威视在2017年1月引入了Hik-Connect云服务，但安全问题依然存在。

2017年5月，美国ICS-CERT就海康威视摄像头可被轻易远程利用的漏洞发布了咨询意见。同年晚些时候，海康威视网络摄像头漏洞利用细节被公布后，一些用户在屏幕上看到的是“HACKED（你被黑了）”字样而不是预想中的监控视频。

如今，海康威视又曝漏洞。这次的漏洞是hik-connect.com的身份认证安全问题。如果该漏洞被利用，攻击者可访问、操作并劫持其他用户的设备。

该漏洞的发现者Stykas给海康威视DVR做固件更新时发现，Hik-connect云服务可以不用路由器端口转发就直接访问摄像头，且cookie值缺乏有效验证。他和小伙伴Lavdanis没能找到从hik-vision.com轻松获取其他用户ID的方法，于是转向使用“萤石”(Ezviz)。

“萤石”是什么呢？其介绍页面上称，这是海康威视这家全球最大视频监视解决方案生产商旗下面向消费和家庭用户的子公司。“萤石”建立在海康威视的专业技术和知识基础上，旨在向消费和智能家居市场提供健壮的商业品质视频产品。

“萤石”有个功能：只要知道用户注册时所用邮箱或电话，就可在无需该用户同意的情况下将其添加为好友。

悄悄添加好友后，“被”好友用户的ID也就无所遁形了。Stykas写道：“于是，只要有邮箱、手机或用户名，我们就能以别人的身份登录，冒充他/她。”

如何利用海康威视的漏洞

该漏洞可被用于：

• 查看用户的设备、实时视频和回放。
• 修改用户的邮箱地址、电话号码和口令，让用户无法访问自己的设备。
• 重置口令后接管用户的账户，这样即便用户恢复出厂设置也无法在不联系海康威视的情况下将攻击者的账户解除绑定。

Stykas称，“只要修改口令，就可以使用Hik-connect安卓App上的设备菜单，不用口令都可以管理设备(更新固件让设备变成板砖一块等等各种操作都可以)。”

• 在账户上添加共享，默默同步欣赏受害用户设备上的画面。

该漏洞的发现者并不清楚到底有多少台摄像头被注册了：

光Google Play上就有超过100万Hik-connect下载量，天知道苹果的App Store还有多少。

漏洞报告是4月21日发送的，海康威视在4月24日发布了补丁。

Stykas对该漏洞做了事后分析：

• 如果你是开发人员，千万别信任来自用户的任何东西。过滤、检查、清洗掉所有外部输入。
• 如果你是终端用户，请保持设备更新，并通过网络分隔限制你的IoT设备。

这个漏洞就是个典型的例子，反映了本应提供额外安全特性（不用端口转发，也没有在互联网上暴露IoT）的服务是怎么被人轻易反杀的。除了只用大品牌产品或根本不用这些设备，我们没有别的办法防止此类攻击。大品牌当然也可能有问题，但其监管更好，也会对漏洞做出响应而不是直接无视。