家用的攝像頭在帶來方便的同時也帶來了安全隱患����,不僅家用攝像頭容易被控制,個人隱私?jīng)?���,還有可能被不法分子大規(guī)模劫持,致使網(wǎng)路癱瘓�。在眾多QQ群內(nèi),一套188元的軟體就可以查看他人家庭的實(shí)時畫面�,還可以進(jìn)行遠(yuǎn)端操控,包括轉(zhuǎn)動���、靜止�����、放大等���。
國家質(zhì)檢總局日前對40批次智慧攝像頭進(jìn)行的品質(zhì)安全風(fēng)險監(jiān)測表明,8成攝像頭都存在安全隱患�。在選購智慧攝像頭時���,最好選擇正規(guī)渠道,並定期更改密碼���、及時更新硬體��。
攝像頭被曝隱私安全
現(xiàn)如今�����,很多人家裏都裝有智慧攝像頭��。主人可以隨時用手機(jī)看看家裏的情況�,比如老人獨(dú)自在家是否安全��,保姆帶娃是否盡責(zé)��,有沒有進(jìn)小偷之類的�����。不過�,涉及個人隱私的智慧攝像頭可能並不安全。在網(wǎng)上�����,只需花一百多元購買掃描軟體,便可以攻破家庭攝像頭的IP地址����,從而觀看別人家的視頻內(nèi)容�����,甚至操控該攝像頭����。
根據(jù)央視報道,在QQ內(nèi)有眾多關(guān)鍵詞為“攝像頭破解”的聊天群�����,隨機(jī)加入幾個聊天群�����,發(fā)現(xiàn)聊天的內(nèi)容絕大多數(shù)有關(guān)家庭攝像隱私��。多個群友主動加好友�,號稱“能夠攻破攝像頭IP地址”���。還有的群內(nèi),IP地址會被群主作為聚攏人氣的禮物����,免費(fèi)向群員發(fā)放。在有個近2000人的QQ群中��,每天都會新增一份最新破解文件�,包含200到400個IP地址,每份都被下載了幾百次���。
在支付188元購買了兩款軟體和詳細(xì)使用教程後���,輸入賣家提供的IP地址、登錄名和密碼���,竟然成功進(jìn)入了多個家庭攝像頭���,看到了家裏的情景。記者聯(lián)繫上一家攝像頭的主人����,向她核實(shí)攝像頭是否為家中實(shí)時圖像�,對方承認(rèn)的確為自己家中�,並表示十分驚詫。
除了偷窺之外���,他人還可能控制家裏的攝像頭�,比如讓攝像頭旋轉(zhuǎn)�、放大�、靜止等。據(jù)北京青年報記者了解��,一些攝像頭正是利用畫面的突然改變從而提醒主人家中是否有意外情況�����,比如在家中無人時��,被拍攝畫面中如果突然有他人進(jìn)入���,則會提示主人可能有小偷�����;而一旦攝像頭被控制����,畫面靜止後,攝像頭就失去了原本的意義��,如對方知曉家庭住址等資訊����,不僅知道家中何時沒有人,還可以穩(wěn)住主人�����,實(shí)施一些違法行為�����。
攝像頭城市畫面被洩露
實(shí)際上�����,存在安全漏洞的不只是家庭攝像頭���。據(jù)國家網(wǎng)際網(wǎng)路應(yīng)急中心的專家介紹����,用於城市管理、交通監(jiān)測的公共攝像頭中�,也大量存在使用弱密碼便可以打開的問題。因此���,這類攝像頭很容易被入侵�。
360攻防實(shí)驗(yàn)室的專家劉健皓表示����,此前在一個名為“Shodan”的網(wǎng)站收錄了成千上萬網(wǎng)路攝像頭拍攝的照片,是由於網(wǎng)路攝像頭實(shí)時流傳輸協(xié)議存在安全漏洞�。該網(wǎng)站收錄了中國大陸地區(qū)的攝像頭拍攝畫面共有49個�����,涉及廣州���、北京�、合肥��、南京�����、重慶等城市。
其中一個位於北京北海東側(cè)�、景山後街的一家服裝店收銀臺上方的攝像頭清晰地記錄了店內(nèi)情況,包括電腦����、電話、賬本POS機(jī)等物品清晰可見���,還可以看到一名女子正在盤點(diǎn)錢款�����。
另外��,在知乎問答上��,有多名網(wǎng)友貼出了多個網(wǎng)站的攝像頭截圖����,其中一張截圖中����,兩名身穿疑似公安系統(tǒng)制服的工作人員正在一間房間內(nèi)辦公��,另有工廠內(nèi)����、公園內(nèi)����、教室內(nèi)、街頭等多個場景的攝像頭畫面�����。
攝像頭緣何成公開眼��?
本身是只有自己可以控制和查看的攝像頭�,為何會被他人控制?其一大原因就是其用戶名�、密碼太簡單����,也就是“弱密碼”。一些用戶在安裝攝像頭時���,並不會修改密碼��,或修改為更加簡單的密碼�����,如連續(xù)的數(shù)字或字母���。在網(wǎng)上購買的掃描器�,正是利用了這一漏洞�,大範(fàn)圍掃描各種智慧設(shè)備,如果恰好可以用原始密碼或簡單密碼攻破�,就會被記錄。
另外�����,獵豹移動安全專家指出:由於家庭攝像頭暴露外網(wǎng)管理頁面��,設(shè)備存在弱密碼或其他漏洞�����,很容易被駭客大批量掃描利用���。除此之外���,以下兩點(diǎn)也是隱私視頻被洩露的主要途徑:1��、攝像頭廠商的管理後臺存在漏洞或缺陷介面�,被駭客通過SQL注入或者撞庫等方式竊取用戶管理密碼���,甚至可能被利用管理後臺監(jiān)控所有用戶��。2�、攝像頭開啟雲(yún)端監(jiān)控功能���。一旦雲(yún)伺服器廠商出現(xiàn)漏洞或雲(yún)服務(wù)授權(quán)KEY泄漏�����,將導(dǎo)致所有用戶隱私視頻的大範(fàn)圍泄漏����;用戶隱私視頻上傳雲(yún)端的整個過程缺乏有效的監(jiān)管���,在監(jiān)控視頻傳輸、存儲的各環(huán)節(jié)都存在泄漏風(fēng)險�����。
大量攝像頭存風(fēng)險
日前,國家網(wǎng)際網(wǎng)路應(yīng)急中心在市場佔(zhàn)有率排名前五的智慧攝像頭品牌中隨機(jī)挑選了兩家����,進(jìn)行了弱密碼漏洞分佈的全國性監(jiān)測。結(jié)果僅兩個品牌的攝像頭��,就有十幾萬個存在著弱密碼漏洞��。
18日�����,質(zhì)檢總局也對40批次的智慧攝像頭進(jìn)行品質(zhì)安全風(fēng)險監(jiān)測�,結(jié)果表明,32批次樣品存在品質(zhì)安全隱患���。也就是説�,八成的智慧攝像頭存在安全風(fēng)險���。結(jié)果表明���,32批次樣品存在品質(zhì)安全隱患��。
其中����,28批次樣品數(shù)據(jù)傳輸未加密��;20批次樣品初始密碼為弱密碼�,或者用戶註冊和修改密碼時未限制用戶密碼複雜度;18批次樣品在身份鑒別方面�����,未提供登錄失敗處理功能��;16批次樣品對用戶密碼�����、敏感資訊等數(shù)據(jù)����,在本地存儲時未採取加密保護(hù)措施;10批次樣品作業(yè)系統(tǒng)的更新有問題���,未提供固件更新修復(fù)功能或者固件更新方式不安全����;10批次樣品後端資訊系統(tǒng)存在越權(quán)漏洞��,同一平臺內(nèi)可以查看任意用戶攝像頭的視頻���;8批次樣品未對惡意代碼和特殊字符進(jìn)行有效過濾��;5批次樣品後端資訊系統(tǒng)存儲的監(jiān)控視頻可被任意下載�����,或者用戶註冊資訊可被任意查看�����。上述問題可能導(dǎo)致用戶監(jiān)控視頻被洩露����,或智慧攝像頭被惡意控制等危害��。
去年5月���,360安全實(shí)驗(yàn)室也曾對國內(nèi)市場上銷售的近百個品牌的家用智慧攝像頭進(jìn)行安全評估測試後發(fā)現(xiàn)���,近八成産品存在用戶資訊洩露��、數(shù)據(jù)傳輸未加密��、APP未安全加固����、代碼邏輯存在缺陷���、硬體存在調(diào)試介面����、可橫向控制等安全缺陷�、弱密碼等安全設(shè)計(jì)缺陷。
智慧硬體漏洞或致網(wǎng)路癱瘓
不安全的智慧攝像頭除了會帶來用戶隱私被侵犯問題���,還有可能釀成大禍�����。去年10月���,美國爆發(fā)大規(guī)模網(wǎng)路癱瘓事故����,多個城市的主要網(wǎng)站被攻擊�����,包括推特��、亞馬遜�����、Paypal等在內(nèi)的大量網(wǎng)際網(wǎng)路知名網(wǎng)站數(shù)小時無法正常訪問��。該事故就被認(rèn)為是智慧攝像頭�、路由器�、錄影機(jī)等設(shè)備的密碼問題所致。
360攻防實(shí)驗(yàn)室負(fù)責(zé)人劉健皓介紹�,該病毒影響如此大的重要的原因是因?yàn)橛腥绱酥嗟木W(wǎng)路攝像頭、數(shù)字錄影機(jī)等設(shè)備生産出來時附帶的默認(rèn)密碼從未更改過�����,一次簡單的網(wǎng)際網(wǎng)路掃描就能識別出這些密碼。這樣����,手裏掌握大量智慧硬體漏洞的組織,就可以輕易地利用這樣的程式�����,調(diào)動所有有漏洞的硬體發(fā)起進(jìn)攻�����。
當(dāng)然�����,智慧硬體廠商在安全方面的表現(xiàn)也不盡如人意�。劉健皓稱,相當(dāng)數(shù)量的智慧硬體攜帶非常多的漏洞�,這些漏洞往往是低級的,甚至由於很多硬體廠商選用相同的底層方案���,這些漏洞還是通用的�,一旦被不法分子利用�����,其後果不堪設(shè)想,這次美國斷網(wǎng)事件就是一個很好的例證����。
安全提醒
如何選購智慧攝像頭
普通消費(fèi)者應(yīng)當(dāng)如何選擇智慧攝像頭呢?質(zhì)檢總局提示廣大消費(fèi)者��,在選購和使用智慧攝像頭産品時�����,要注意以下幾點(diǎn):
一是選擇正規(guī)渠道購買智慧攝像頭産品�����,切勿購買“三無”産品�,注意留意權(quán)威部門發(fā)佈的相關(guān)産品品質(zhì)資訊���。
二是增強(qiáng)隱私資訊保護(hù)意識��,在購買���、使用智慧攝像頭産品和接受相關(guān)服務(wù)時�,仔細(xì)查看相關(guān)説明和廠商聲明�����,充分了解選購産品和服務(wù)的各項(xiàng)功能���,注意和防範(fàn)用戶資訊可能泄漏的風(fēng)險����,審慎考慮廠商收集�、保存和使用用戶資訊的要求,根據(jù)自我實(shí)際情況和意願作出購買和選擇決定��。
三是使用時��,應(yīng)及時主動修改智慧攝像頭默認(rèn)密碼���,密碼設(shè)置應(yīng)有一定的複雜度並定期修改�����。
四是及時更新智慧攝像頭作業(yè)系統(tǒng)版本和相關(guān)的移動應(yīng)用���,發(fā)現(xiàn)異常應(yīng)立即停止使用�,並向生産廠商反饋���,等待廠商修復(fù)���。
文/本報記者 溫婧
