视讯摄影机经过改造，可作为入侵使用者网络的媒介

资安业者Vectra旗下的威胁实验室在本周展示如何改装市售的视讯摄影机，以让它成为入侵使用者网络的媒介，包括可用来传送命令，或窃取使用者的资料。

Vectra的研究人员是在Amazon站上采购了订价约30美元的D-Link无线视讯摄影机，然后拆下该摄影机的印刷电路版，接上骇客工具Bus Pirate，以存取该电路板上的快闪只读内存内容，发现它采用的是Linux核心与映像档，继之利用工具在此一Linux系统上嵌入回拨后门（callback backdoor），还设计了重刷功能，以防使用者更新固件时移除了后门。

在重新包装后，研究人员即可持续远端存取该视讯摄影机，把该摄影机当作代理机制，可用来传递骇客命令到使用者的网络上，或是透过该摄影机将所窃取的资料送出。

Vectra澄清，这并不代表D-Link的无线视讯摄影机含有重大的安全问题，他们以合理的价格买到了该产品，要求30美元的视讯摄影机制造商提供可靠平台模组（Trusted Platform Module，TPM）或特制芯片来验证软件更新的内容与签章是非常不切实际的。

此一展示只是为了强调入侵相关装置的门槛其实不高，而且就算是最基本的装置都能成为持久的命令暨控制媒介，同时也会影响网络安全。

Vectra进行该实验的原因来自于物联网的热潮与安全议题，虽然已有资安专家警告物联网将成为骇客的下一个乐园，但反对者则说物联网装置并未储存有价值的资讯，也没有太多资源，对骇客并无太大吸引力，Vectra则证明了物联网装置还是可成为入侵使用者网络的媒介并带来安全风险。