?　　

使用智能攝像頭,王先生在單位即可實時觀看家里的情況。

　　

360攻防實驗室技術(shù)人員輕松破解了一款正在工作的智能攝像頭。

　　男子潛入賓館女廁安裝攝像頭一事經(jīng)本報報道后引發(fā)讀者關(guān)注。除了譴責當事人的不齒行徑外,讀者更對用手機就能輕松接收視頻的網(wǎng)絡(luò)攝像頭感到擔憂。記者調(diào)查發(fā)現(xiàn),這類智能攝像頭其實已經(jīng)成為不少年輕人青睞的家庭智能設(shè)備。然而,由于缺乏安全標準,360攻防實驗室專家檢測發(fā)現(xiàn),近八成產(chǎn)品存在用戶信息泄露、數(shù)據(jù)傳輸未加密等問題,黑客可以遠程獲取用戶的隱私畫面。

　　打開手機即可“看家”

　　以往人們對攝像頭的印象要么是固定在電腦、手機等終端設(shè)備上的視頻獲得器材,要么是專業(yè)人員安裝在公共環(huán)境中用來監(jiān)控突發(fā)狀況的設(shè)備。然而隨著物聯(lián)網(wǎng)的迅速發(fā)展,一類智能網(wǎng)絡(luò)攝像頭日趨火爆起來。記者調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)攝像頭的用戶大多是為了“看家”更方便。有的是不放心年歲較大的父母,有的是監(jiān)控年幼的孩子,有的是為了看家里寵物的情況,還有的是為了防盜。

　　家住浮山后的王先生就為父母安裝了這么一款家庭智能攝像頭,與傳統(tǒng)監(jiān)控設(shè)施最大的不同是,該攝像頭不需要線路傳輸監(jiān)控畫面,可以連接到WiFi,還可以安裝sim卡,然后在手機里安裝與攝像頭匹配的APP,經(jīng)過匹配調(diào)試后,點開手機就能查看攝像頭監(jiān)控畫面,即便是在千里之外,只要手機和攝像頭都能接入網(wǎng)絡(luò),家里的情況照樣可以實時掌握。

　　在銀川西路軟件園工作的孔女士前段時間也購置了一臺智能攝像頭,方便隨時看看家里寶寶和老人的情況。“孩子剛7個月大,我和她爸爸平時都得上班,我母親一個人在家照顧孩子,老人年紀大了腿腳不大靈便,放個攝像頭在家里我們安心多了,一旦孩子或者老人有個突發(fā)情況,我們可以第一時間發(fā)現(xiàn)趕回去。”孔女士說,除此之外,由于攝像頭可以傳輸音頻,夫妻倆還可以通過手機跟家里的孩子老人說說話,感覺挺好玩的。

　　記者在淘寶網(wǎng)上搜索網(wǎng)絡(luò)攝像頭,立即出現(xiàn)數(shù)千款相關(guān)產(chǎn)品,售價從幾十元到數(shù)萬元不等。價格越貴的攝像頭功能越多,除了高清、夜視等功能外,一些攝像頭還具備識別并捕捉活動物體的功能,當有人或者動物在鏡頭前面晃動時,攝像頭就會自動記錄下來。通過手機還可以調(diào)節(jié)攝像頭的角度、拍攝范圍等。

　　記者注意到,該類攝像頭銷售情況較好,多款產(chǎn)品的月度銷售量已經(jīng)過萬。從顧客評價看,很多買家都是安裝在家庭里,方便上班時關(guān)注家里孩子或者老人的狀況。

　　設(shè)備存漏洞,隱私遭直播

　　然而,用戶在獲得方便的同時,由于這類攝像頭采用互聯(lián)網(wǎng)傳輸,用戶的隱私也可能在不知不覺中遭到泄露。

　　在一個名為“Shodan”的網(wǎng)站上,大量客廳、臥室的實時畫面被發(fā)到網(wǎng)上,讓人觸目驚心。這些畫面就來自網(wǎng)絡(luò)攝像頭。這些原本應(yīng)該只有匹配的設(shè)備才能收看的畫面是如何泄露出去的呢?360攻防實驗室介紹,主要是因為許多攝像頭存在一個名為“RTSP(實時流傳輸協(xié)議)”的安全漏洞。通過這個漏洞,只要下載一個播放器,就能“在線觀看”他人隱私。

　　360攻防實驗室的技術(shù)人員介紹,為方便用戶遠程監(jiān)控攝像頭內(nèi)容,許多攝像頭廠商會在攝像頭中開啟RTSP服務(wù)器,用戶可通過VLC等視頻播放軟件打開RTSP地址進行攝像頭畫面的實時查看。但是,有的廠商并沒有給RTSP地址做身份認證,導致本來屬于隱私的攝像頭畫面變成“公開”模式,任何人都可以看到。

　　此前,技術(shù)人員曾專門做過實驗。經(jīng)過相關(guān)軟件追蹤掃描,技術(shù)人員的電腦里出現(xiàn)了多個攝像頭畫面。點進畫面,右上方的時間顯示,這正是攝像頭看到的實時畫面。這些攝像頭畫面有國內(nèi)的也有國外的,畫面包括客廳、樓道、停車場、辦公室、收銀臺,甚至是臥室。

　　技術(shù)人員介紹,存在漏洞的攝像頭IP地址是他們對互聯(lián)網(wǎng)上所有的IP地址掃描后分析得到的。他們在掃描這一安全漏洞時發(fā)現(xiàn),攝像頭不但能夠看到家里的情況,甚至還能聽得到聲音。這種能夠被搜索到的攝像頭,全國有9000多個。“Shodan”網(wǎng)上的攝像頭畫面,都是通過這一漏洞外泄的。

　　360攻防實驗室安全研究員賈文曉介紹,這些攝像頭中有的因為沒有密碼,所以能夠被搜索到。有的攝像頭有默認口令,比如像“admin12345”這種比較簡單的密碼,一旦用戶沒有修改,攝像頭所拍攝的畫面也有可能被別人看到。此外,有的人在家里想知道辦公室的情況,就主動將攝像頭映射到公網(wǎng)上,這種雖然看到了辦公室的情況,自己家的情況也同時暴露了。

　　近八成智能攝像頭存安全漏洞

　　專家介紹,目前在國內(nèi)上市銷售的智能攝像頭品牌就多達107個,市場上銷售的無品牌的山寨產(chǎn)品更是不計其數(shù),然而由于參與智能攝像頭設(shè)計生產(chǎn)和推廣的相關(guān)企業(yè)繁雜,品牌眾多,其中的很多產(chǎn)品都缺乏完善的安全相關(guān)設(shè)計,很容易被黑客控制。

　　5月11日360攻防實驗室發(fā)布了中國首份《國內(nèi)智能家庭攝像頭安全狀況評估報告》,在對國內(nèi)市場上銷售的近百個品牌的家庭智能攝像頭進行的安全評估測試發(fā)現(xiàn),近八成產(chǎn)品存在用戶信息泄露、數(shù)據(jù)傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調(diào)試接口、可橫向控制等安全漏洞。

　　360攻防實驗室安全工程師劉健皓介紹,這些安全缺陷的存在讓接入網(wǎng)絡(luò)的智能攝像頭可以輕易被不法分子控制,隨時獲取攝像頭的圖像和語音信息,對安裝攝像頭的家庭或公司進行監(jiān)控甚至網(wǎng)上直播。

　　■測試

　　名牌攝像頭

　　也可能被“攻陷”

　　測試人員選擇了一款在幾個大型網(wǎng)上商城銷量不錯的智能攝像頭,在360攻防實驗室專家劉健皓的幫助下進行了安全監(jiān)測測試。

　　測試人員先在手機上隨便注冊了一個賬號,但是手機顯示并沒有設(shè)備接入到手機,頁面還在提示測試人員“添加設(shè)備”,安全專家用電腦進行了幾個簡單的操作,測試人員再次進行手機刷新,手機竟然綁定了攝像頭,頁面竟然出現(xiàn)了一些辦公室、廠庫、家庭房等地的場景。

　　測試人員看到一些家庭的客廳、臥室的物品,甚至還可以看到兩名穿著睡衣的女子在客廳內(nèi)來回走動,客廳電視里正在播放著電視劇《歡樂頌》。另外一個家庭中,攝像頭安裝在了臥室,臥室的床鋪被褥擺設(shè)也一目了然,令人震驚。

　　劉健皓解釋,理論上來說,即使手機可以遠程看到攝像頭內(nèi)容,但是必須注冊,甚至要求“一對一”。但是很多攝像頭與手機進行連接,并沒有對手機身份進行驗證,這是一個非常嚴重的漏洞,黑客可以通過漏洞,用一個虛擬的綁定就可以查看數(shù)百個攝像頭實時畫面。

　　而據(jù)劉健皓介紹,出現(xiàn)此漏洞的攝像頭至少有數(shù)十款,其中包括了一些很著名的品牌。

　　■警惕　汽車、無人機都曾被攻破

　　智能攝像頭是目前智能設(shè)備發(fā)展的一個縮影。隨著互聯(lián)網(wǎng)技術(shù)和智能技術(shù)的發(fā)展和應(yīng)用普及,以互聯(lián)網(wǎng)化和智能化為核心的智能生活已經(jīng)從“概念”成為真實可觸及的現(xiàn)實。世界正在以超寬帶速度進入“萬物互聯(lián)”時代。Gartner預(yù)計,2016年全球使用中的智能聯(lián)網(wǎng)設(shè)備將達到64億個,較2015年增長30%,2016年每天將新增550萬個智能聯(lián)網(wǎng)設(shè)備,而2020年智能聯(lián)網(wǎng)設(shè)備將增至208億個。美國科技行業(yè)咨詢公司Linley　Group預(yù)計到2020年,每一個家庭將會擁有大約十個智能聯(lián)網(wǎng)設(shè)備。

　　如同所有新技術(shù),智能設(shè)備也存在硬幣的兩面,當人們被智能設(shè)備接入互聯(lián)網(wǎng),人們的生活也因此具有了基于互聯(lián)網(wǎng)的高度關(guān)聯(lián)性和可訪問性,沒有足夠的安全保障,不僅智能設(shè)備對網(wǎng)絡(luò)環(huán)境構(gòu)成了嚴重威脅,也會給人們的生活帶來不可預(yù)知的安全風險。

　　安全專家早就警告過物聯(lián)網(wǎng)存在的風險。當涉及到智能家居的時候,這些風險就變得更為可怕了。據(jù)著名科技博客網(wǎng)站Gigaom的一篇報道,企業(yè)安全研究公司Synack對16個常見的物聯(lián)網(wǎng)設(shè)備進行了測試,結(jié)果發(fā)現(xiàn),它們都存在不同程度的安全問題,其中,聯(lián)網(wǎng)攝像頭是最不安全的。

　　早在2007年就有利用漏洞控制攝像機造成泄密的報道。當時黑客主要是通過攻擊電腦系統(tǒng),獲得用戶主機的控制權(quán),再打開探頭的。而隨著互聯(lián)網(wǎng)安全技術(shù)的發(fā)展,這樣的攻擊逐漸減少。取而代之的是對直接連在網(wǎng)絡(luò)上的網(wǎng)絡(luò)攝像機進行攻擊。

　　近年來,媒體報道行駛中的汽車可以被黑客接管失去控制、洗衣機也可能失控而高速旋轉(zhuǎn),黑客通過智能手環(huán)可以直播日常活動,而智能攝像頭讓私生活在互聯(lián)網(wǎng)上被直播。

　　而在去年8月舉行的首屆HackPWN安全極客狂歡節(jié)上,多位白帽黑客們演示了破解汽車、洗衣機、電視、豆?jié){機、烤箱、智能手環(huán)、智能手機、無人機、智能監(jiān)控系統(tǒng)、兒童學習機等關(guān)系人們衣食住行的智能設(shè)備,利用這些設(shè)備的安全漏洞,黑客不僅可以接管這些設(shè)備的控制權(quán)而為所欲為,還可以竊取用戶個人信息和個人數(shù)據(jù)。

　　■建議　選擇大品牌設(shè)置復雜密碼

　　家用攝像頭一般安放在客廳或是臥室里,一旦畫面泄露,個人隱私就不存在了。對此,專家建議,盡量使用有線連接,當設(shè)備是無線連接的時候,確保它們掉線時會通知到用戶。在購買攝像頭時,最好選擇大品牌的攝像頭,并及時修改初始密碼,密碼要使用數(shù)字、特殊符號和字母的組合,最好多于12個字符。向云端發(fā)送數(shù)據(jù)的時候,使用安全的連接,不要在設(shè)備上存儲數(shù)據(jù),以免被黑。同時,要及時升級設(shè)備固件,修補安全漏洞。

　　不過對于多數(shù)智能設(shè)備用戶來說也不必過分擔心,因為大多數(shù)智能設(shè)備使用的網(wǎng)絡(luò)都是路由器內(nèi)網(wǎng),外界較難攻破,相對安全一些。當然最有效的辦法就是,在不使用的時候把攝像頭遮蔽住。

　　本版文/圖　本報記者　景毅

　　 （來源：半島網(wǎng)-半島都市報）