這幾年推出的相機,大多數都備有 USB 、 Wi-Fi 和 NFC ,方便用戶傳送照片以至連接手機做直播。不過大家有沒有想過,效能有限的單反相機,一樣會成為勒索軟件的目標?網絡保安機構 Check Point 剛剛就發表報告,指駭客可以透過 Wi-Fi 或者已被入侵的電腦的 USB ,來入侵單反相機,裝上勒索軟件。
[ot-video]
Check Point 的研究人員示範了如何透過 Wi-Fi 遙距安裝勒索軟件到 Canon EOS 80D 上,鎖上相機和 SD 卡上的照片並且勒索用戶。報告指 Canon 相機有個名為「神燈( Magic Lantern )」的開源軟件為 Canon EOS 加設新功能,而且這個改裝社群非常龐大,他們對相機的 firmware 非常熟悉,且製作了不少 API 文件,這不單有助開發者為神燈開發新功能,也幫助了駭客入侵相機。
報告指現時相機都採用一個不需要授權的標準協定「 Picture Transfer Protocol ( PTP )」來傳輸照片,這個協定可以透過 Wi-Fi 或 USB 來使用。攻擊者可以透過被騎劫的 Wi-Fi AP 來向旅客的單反相機散布病毒,或感染他們的電腦。
研究人員指單反相機的用戶對駭客來說可能是利潤豐厚的目標,因為單反相機裡的照片很多時都是私人照片,如果勒索金額不高,很多人為怕麻煩都會寧願付贖金取回解鎖鍵。
Check Point 指他們已於 3 月通知了 Canon 有關漏洞問題,並已於 5 月開始著手開發修正檔。而上星期, Canon 就已經發出保安通知,建議用戶:
- 對連接相機的電腦或流動裝置採取適當保安措施;
- 不要使用不安全的網絡,例如免費 Wi-Fi 連接電腦或流動裝置;
- 不要連接相機到可能受病毒感染的電腦或流動裝置;
- 在不使用相機的網絡功能時將它關掉;
- 相機升級時,應該從 Canon 官網下載官方的 firmware 。
Check Point 的研究人員指出雖然他們只測試過 Canon 相機,不過基於 PTP 協定的複雜性,他相信其他品牌的相機也可能會有這樣的漏洞,不過就取決於各自的實裝方式。
