南韓軍方近日發現,向中國海康威視(HIKVISIOM)採購的監視錄影設備中的設備管理網頁下,竟然隱藏可竊取機密的惡意程式碼。對此,專家表示,絕不能輕乎影像被盜取所造成的危害,不僅會造成機密外流,甚至還能把拍攝影像中的特定人物抹除,呼籲政府應進行把關管控。
據《朝鮮日報》報導指出,河泰慶披露國防部一項採購案中的「海岸、河岸科學化警戒事業」項目中,軍方一計畫向中國購買了215套用來警戒的攝影機,準備要投入海岸警戒工作時,安保支援司令部卻發現該批設備中的管理網頁下,竟然隱藏意圖盜取軍事機密的程式碼。
軍方調查後證實,該網頁的確被指向了「中國散佈惡意代碼網站的IP位址」,深入追查後,證實是中國企業在生產過程時,將惡意程式植入監視器中,隨後向南韓軍方交貨。
南韓軍方表示,這組惡意程式碼可讓中國設備商從遠端任意更改影片的儲存路徑,也可隨意更改並儲存到其他裝置,也讓外部使用者輕易的入侵,如果這批監視設備貿然使用,可能會讓邊境的警衛機密讓中共唾手可得。
對此,交通大學資訊工程系終身講座教授林一平表示,一般連網攝影機進行影像傳輸,只能傳到使用者指定的裝置上,但如果被植入木馬程式的話,拍攝的影像資料就會被拷貝一份傳到外部資料庫,就可能導致機密外流。
他表示,在管理網頁下隱藏盜取程式算是比較次級的作法,掃毒軟體有可能可以查到,目前更高階的方式是直接把病毒燒製在硬體晶片裡,這種方式就比較難查到,甚至還能把其他台攝影機的影像一併送出,較新型的攝影機還會內建AI進行影像分析歸類,只要將影像搜集分析,就可以得到很多資訊。
他也提醒,絕不能輕乎影像被盜取所造成的危害,他以學術單位為例,影像盜取可能會導致教授的研究成果全部外流,現在甚至可以把拍攝影像中的特定人物抹除,「這都是完全可以做得到的」。
他表示,一般民眾對資安防護沒有概念,覺得便宜就用了,而多數選擇安裝攝影機都是為了安全,但被植入這種木馬程式後,反而有可能變得越來越不安全。他建議,這類資安有疑慮的產品,政府不應該放任、造成台灣資安防護的破口,應該從源頭進行把關。◇