关于 | 安全警告 | 漏洞概述 | 受影响品牌 | 攻击面 | 工具 | 许可证
请勿购买有看头/技威时代摄像头用于安全敏感场景。
这些摄像头存在无法通过固件更新修复的架构性安全缺陷:
- 🔴 所有视频流均中继至中国云服务器(
cloudlinks.cn、华为云、腾讯云)— 即使在"仅本地"模式下,P2P连接也通过中国中继服务器 - 🔴 RTSP密码 = MD5(设备ID) — 知道摄像头数字ID的任何人都能计算出流密码。无盐值、无随机性
- 🔴 ONVIF无需认证 — 无需任何凭据即可完全控制摄像头(视频、云台、设备信息)
- 🔴 DES加密使用硬编码密钥 — P2P密码加密使用
53a6c99d783a68b1,全球所有设备使用同一密钥 - 🔴 超过81.4万台设备使用默认密码(SRLabs/DeepSec 2017)—
123、888888、123456 - 🔴 固件使用已泄露的RSA私钥签名 — 可以制作和部署恶意固件
- 🔴 零证书固定 —
usesCleartextTraffic="true",中间人攻击极其简单
如果您已经拥有一台:将其隔离在没有互联网接入的独立VLAN中,直接使用RTSP。
针对由深圳技威时代科技有限公司(Shenzhen Gwelltimes Technology)生产的有看头(Yoosee)系列IP摄像头的独立安全研究。本项目记录了通过对作者本人所有的硬件进行独立测试所发现的漏洞 —— 无委托、无合同、无漏洞赏金计划。相同的固件、云基础设施和P2P协议被用于以数十个白牌品牌在全球销售的消费级物联网摄像头。
技威时代成立于2012年,总部位于深圳,是一家物联网视频解决方案企业,其生产的摄像头以数十个品牌名称在全球销售。旗下有看头App在Google Play上的下载量已超过五千万次,全球用户超过1.3亿,覆盖209个国家和地区。每年出货量超过700万台。
| 属性 | 值 |
|---|---|
| OEM | 深圳技威时代科技有限公司 |
| 型号 | SC-B21 双镜头云台(It-Blue) |
| 固件 | 38.02.103,硬件版本 2.1 |
| SoC | Anyka AK3918EV330 (ARM926EJ-S) |
| 视频 | H.265 1920x2160(双镜头拼接)@ 15fps |
| 音频 | G.711 PCM A-law 16kHz 单声道 |
| WiFi | RTL8188FU |
| 应用 | 有看头 / YYP2P (com.yoosee) |
| 云端 | cloudlinks.cn(P2P V5,FPFQ协议) |
按CVSS严重程度排序。详细技术细节和PoC请参见 advisories/。
| # | 漏洞 | CVSS | 描述 |
|---|---|---|---|
| 1 | RTSP密码 = MD5(设备ID) | 9.8 | 任何摄像头的流密码都可以从其公开设备ID计算得出。适用于全球所有有看头摄像头 |
| 2 | ONVIF无认证访问 | 9.1 | 端口5000响应所有ONVIF查询,无需WS-Security认证 |
| 3 | P2P硬编码DES密钥 | 9.0 | libp2pav.so 中的密钥 53a6c99d783a68b1 加密所有设备密码 |
| 4 | 固件RSA私钥泄露 | 9.0 | 固件签名私钥在公开仓库中可获取 |
| 5 | CVE-2025-52085 — SQL注入 | 8.8 | 云API中 alarmId 参数的SQL注入 |
| # | 漏洞 | CVSS | 描述 |
|---|---|---|---|
| 6 | 视频数据中继至中国 | 8.5 | 所有P2P连接通过中国服务器中继 |
| 7 | ONVIF写操作致拒绝服务 | 8.2 | CreateUsers、SetHostname、GetUsers永久崩溃IPC进程 |
| 8 | SmartConfig密钥硬编码 | 7.5 | Realtek PIN 57289961 可在摄像头配网时截获WiFi凭据 |
| 9 | 零证书固定 | 7.4 | 明文HTTP传输,中间人攻击极简 |
| # | 漏洞 | CVSS | 描述 |
|---|---|---|---|
| 10 | 云台无认证控制 | 6.5 | ONVIF ContinuousMove无需凭据即可远程移动摄像头 |
| 11 | 部分RTSP无认证 | 6.1 | /cam/realmonitor 路径无需任何凭据即可访问 |
| 12 | 信息泄露 | 5.3 | 固件版本、MAC地址、DHCP、视频源通过ONVIF暴露 |
技威时代以OEM/ODM模式运营。相同的固件和云基础设施(cloudlinks.cn)驱动着以众多不同品牌名称销售的摄像头。在任一品牌中发现的漏洞,很可能同样影响所有使用相同平台的其他品牌。
| 品牌 | 地区 | 证据 |
|---|---|---|
| Yoosee(有看头) | 全球 | 技威时代官方品牌 |
| It-Blue | 巴西 | 以"Yoosee ItBlue"销售 |
| Jortan | 巴西 | 使用有看头App |
| Kapbom | 巴西 | Magazine Luiza销售 |
| GNCC | 全球 | 亚马逊畅销品 |
| TECKIN | 全球 | TC100系列 |
| BOAVISION | 法国/欧盟 | 产品标注"APP: iCSee" |
| NINIVISION | 中国/全球 | 说明书标注有看头App |
| LS VISION | 中国/全球 | 说明书标注"App Name iCSee" |
- WiFi SSID:配网时摄像头广播
GW-XXXX - 应用:需要有看头、YYP2P 或 ICSee App
- MAC OUI:
4C:B0:08(技威时代)、A8:B5:8E(碧联/WiFi模块) - 云端:连接到
*.cloudlinks.cn或*.cloud-links.net - ONVIF:端口5000设备名以
IPC开头
graph TB
subgraph LOCAL["🏠 本地网络"]
CAM["📷 有看头摄像头<br/>AK3918EV330"]
RTSP["RTSP :554<br/>H.265 • MD5认证"]
ONVIF["ONVIF :5000<br/>⚠️ 无需认证"]
P2P_LOCAL["P2P UDP<br/>FPFQ协议"]
end
subgraph CHINA["🇨🇳 中国云基础设施"]
RELAY["P2P中继服务器<br/>华为云 159.138.x.x<br/>腾讯云 49.51.x.x"]
API["cloudlinks.cn<br/>API + 认证 + 分析"]
PLAYBACK["saas-playback<br/>☁️ 视频回放"]
FW["upg1.cloudlinks.cn<br/>固件OTA更新"]
end
CAM --> RTSP
CAM --> ONVIF
CAM --> P2P_LOCAL
P2P_LOCAL -->|"DES密钥: 53a6c99d..."| RELAY
RELAY --> PLAYBACK
style LOCAL fill:#0d1117,stroke:#30363d,color:#c9d1d9
style CHINA fill:#1a0000,stroke:#f85149,color:#f0f0f0
style RELAY fill:#2d0000,stroke:#f85149,color:#ff7b72
style PLAYBACK fill:#2d0000,stroke:#f85149,color:#ff7b72
| 工具 | 描述 |
|---|---|
tools/rtsp/rtsp_password_gen.py |
从设备ID生成任意有看头摄像头的RTSP密码 |
tools/cloud_api/yoosee_api.sh |
认证云API访问 |
tools/cloud_api/cloud_dump.sh |
批量下载云录像 |
tools/onvif_fuzzer/ |
ONVIF模糊测试器(52模板 + 364载荷) |
sdcard_hack/ |
SD卡root shell利用 |
本研究仅在个人拥有的设备上进行,仅供教育和学术研究目的。所有发现均以负责任的方式披露。请勿将这些技术用于您不拥有的设备,或在未获得明确授权的情况下使用。
详见 DISCLAIMER.md。
MIT — Gabriel Maia (@gabrielmaialva33)
谁在看你?谁又在看它?