Insta360 的運動或全景相機在攝影上有不錯表現,加上價格合理,令其在市場上相當成功。不過近日發現一個安全漏洞,可能會煞停消費者的購買慾。事緣有 reddit 會員指出 Insta360 的 Wi-fi 保安形同虛設,密碼超級簡單令任何人連上都可存取記憶卡內容,但問題存在 7 個月仍未有解決方案,令人震驚。

其中一款 Insta360

該名叫 cmdr_sidhartagautama 的 reddit 會員指出,Insta360 由於要與手機 app 連接,故會長期開啟 5G Wi-fi,其 Wi-fi ID 不難識別,例如 ONE X2 XXXXXX.OSC,那 6 個 X 就是機身序號,只要手機或手提電腦搜尋網絡就能輕易找到。雖然連接時要求輸入密碼,但預設號碼竟然是 12345678 或 88888888,而且是固定的,用家本人卻不能更改!(編按:只要在網上搜尋「Insta360 password change」,就找到說明書指出密碼是以上兩組,而且真的沒有任何指導改密碼的方法。)

Wi-Fi ID 很易認出是 Insta360 的型號,如例子中的 One X2

該會員進一步指出,如果在瀏覽器輸入 http://192.168.42.1/DCIM/Camera01 這個網址的話,甚至可以直接觀看到記憶體內容,讓入侵者可以下載所有相片或影片內容,令 Insta360 用家的私隱盪然無存。更嚴重的問題是相機沒有任何認證機制,若成功連結後,甚至可以取得根訪問權限(root access),駭客可從中植入木馬或偽裝成影片檔的惡意程式,待連接電腦讀取記憶卡時,再傳播到其他電腦,產生「級聯效應 (cascading effect)」,即是觸發一個情況後,後續不斷觸發更多的問題,像傳染病波及其他相機及電腦。

連上相機,再在瀏覽器輸入http://192.168.42.1/DCIM/Camera01,就能看到記憶卡內的相片或影片。

cmdr_sidhartagautama 形容,這款開發度完整,能推出市面的銷費產品,居然會犯這種白癡的低級錯誤,漏洞級別跟瑞士芝士的洞一樣多。他指出由今年一月開始已提出問題,但 Insta360 對事情視若無睹達七個月之久,甚至連網站 Petapixel 報導今次事件前一週仍未解決。最後 Insta360 回覆網站提問,指出已經在過去數月著手更新靭體,例如增加改動密碼功能,以及屏閉用瀏覽器從清單列表看到記億體內的檔案。不過貼文的樓主仍擔心即使升級後可改密碼,一些黑客懂得利用藍牙 API 的漏洞人侵相機,保安能力仍然成疑。

拆開手機 App 內的程式碼,發現密碼只是極簡的 88888888,說明書還在網上公開

另一位 reddit 會員 bmajkii 提醒,這個漏洞讓黑客可以隨便尋找獵物,只要他手上有手提電腦或手機,搜到 Wifi ID 後接近用家,再植入幾句 Python 指令,就可以入侵相機後再進一步入侵相機用家的手機或電腦,偷走相片及影片,對旅客來說不是好消息。

而回顧 Insta360 的背景,本身是來自中國深圳影石創新科技股份有限公司。對於美國近年針對中國的網絡產品存在後門或保安漏洞,這個發現會否令 Insta360 也會成為被針對目標?不過這些不是孤例,很多附帶無線功能的攝影器材都發生過保安問題,只是嚴重程度不同而已。

延伸閱讀:

歐美研究揭發 DJI 航拍機操作 App 保安漏洞,黑客可完全奪取手機控制權或盜竊機內資料

美國黑客大會以 Canon 單反示範,如何輕易入侵相機加密照片並勒索贖金

來源:Reddit via Petapixel