?　　

使用智能攝像頭,王先生在單位即可實時觀看家里的情況。

　　

360攻防實驗室技術人員輕松破解了一款正在工作的智能攝像頭。

　　男子潛入賓館女廁安裝攝像頭一事經本報報道后引發讀者關注。除了譴責當事人的不齒行徑外,讀者更對用手機就能輕松接收視頻的網絡攝像頭感到擔憂。記者調查發現,這類智能攝像頭其實已經成為不少年輕人青睞的家庭智能設備。然而,由于缺乏安全標準,360攻防實驗室專家檢測發現,近八成產品存在用戶信息泄露、數據傳輸未加密等問題,黑客可以遠程獲取用戶的隱私畫面。

　　打開手機即可“看家”

　　以往人們對攝像頭的印象要么是固定在電腦、手機等終端設備上的視頻獲得器材,要么是專業人員安裝在公共環境中用來監控突發狀況的設備。然而隨著物聯網的迅速發展,一類智能網絡攝像頭日趨火爆起來。記者調查發現,網絡攝像頭的用戶大多是為了“看家”更方便。有的是不放心年歲較大的父母,有的是監控年幼的孩子,有的是為了看家里寵物的情況,還有的是為了防盜。

　　家住浮山后的王先生就為父母安裝了這么一款家庭智能攝像頭,與傳統監控設施最大的不同是,該攝像頭不需要線路傳輸監控畫面,可以連接到WiFi,還可以安裝sim卡,然后在手機里安裝與攝像頭匹配的APP,經過匹配調試后,點開手機就能查看攝像頭監控畫面,即便是在千里之外,只要手機和攝像頭都能接入網絡,家里的情況照樣可以實時掌握。

　　在銀川西路軟件園工作的孔女士前段時間也購置了一臺智能攝像頭,方便隨時看看家里寶寶和老人的情況。“孩子剛7個月大,我和她爸爸平時都得上班,我母親一個人在家照顧孩子,老人年紀大了腿腳不大靈便,放個攝像頭在家里我們安心多了,一旦孩子或者老人有個突發情況,我們可以第一時間發現趕回去。”孔女士說,除此之外,由于攝像頭可以傳輸音頻,夫妻倆還可以通過手機跟家里的孩子老人說說話,感覺挺好玩的。

　　記者在淘寶網上搜索網絡攝像頭,立即出現數千款相關產品,售價從幾十元到數萬元不等。價格越貴的攝像頭功能越多,除了高清、夜視等功能外,一些攝像頭還具備識別并捕捉活動物體的功能,當有人或者動物在鏡頭前面晃動時,攝像頭就會自動記錄下來。通過手機還可以調節攝像頭的角度、拍攝范圍等。

　　記者注意到,該類攝像頭銷售情況較好,多款產品的月度銷售量已經過萬。從顧客評價看,很多買家都是安裝在家庭里,方便上班時關注家里孩子或者老人的狀況。

　　設備存漏洞,隱私遭直播

　　然而,用戶在獲得方便的同時,由于這類攝像頭采用互聯網傳輸,用戶的隱私也可能在不知不覺中遭到泄露。

　　在一個名為“Shodan”的網站上,大量客廳、臥室的實時畫面被發到網上,讓人觸目驚心。這些畫面就來自網絡攝像頭。這些原本應該只有匹配的設備才能收看的畫面是如何泄露出去的呢?360攻防實驗室介紹,主要是因為許多攝像頭存在一個名為“RTSP(實時流傳輸協議)”的安全漏洞。通過這個漏洞,只要下載一個播放器,就能“在線觀看”他人隱私。

　　360攻防實驗室的技術人員介紹,為方便用戶遠程監控攝像頭內容,許多攝像頭廠商會在攝像頭中開啟RTSP服務器,用戶可通過VLC等視頻播放軟件打開RTSP地址進行攝像頭畫面的實時查看。但是,有的廠商并沒有給RTSP地址做身份認證,導致本來屬于隱私的攝像頭畫面變成“公開”模式,任何人都可以看到。

　　此前,技術人員曾專門做過實驗。經過相關軟件追蹤掃描,技術人員的電腦里出現了多個攝像頭畫面。點進畫面,右上方的時間顯示,這正是攝像頭看到的實時畫面。這些攝像頭畫面有國內的也有國外的,畫面包括客廳、樓道、停車場、辦公室、收銀臺,甚至是臥室。

　　技術人員介紹,存在漏洞的攝像頭IP地址是他們對互聯網上所有的IP地址掃描后分析得到的。他們在掃描這一安全漏洞時發現,攝像頭不但能夠看到家里的情況,甚至還能聽得到聲音。這種能夠被搜索到的攝像頭,全國有9000多個。“Shodan”網上的攝像頭畫面,都是通過這一漏洞外泄的。

　　360攻防實驗室安全研究員賈文曉介紹,這些攝像頭中有的因為沒有密碼,所以能夠被搜索到。有的攝像頭有默認口令,比如像“admin12345”這種比較簡單的密碼,一旦用戶沒有修改,攝像頭所拍攝的畫面也有可能被別人看到。此外,有的人在家里想知道辦公室的情況,就主動將攝像頭映射到公網上,這種雖然看到了辦公室的情況,自己家的情況也同時暴露了。

　　近八成智能攝像頭存安全漏洞

　　專家介紹,目前在國內上市銷售的智能攝像頭品牌就多達107個,市場上銷售的無品牌的山寨產品更是不計其數,然而由于參與智能攝像頭設計生產和推廣的相關企業繁雜,品牌眾多,其中的很多產品都缺乏完善的安全相關設計,很容易被黑客控制。

　　5月11日360攻防實驗室發布了中國首份《國內智能家庭攝像頭安全狀況評估報告》,在對國內市場上銷售的近百個品牌的家庭智能攝像頭進行的安全評估測試發現,近八成產品存在用戶信息泄露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全漏洞。

　　360攻防實驗室安全工程師劉健皓介紹,這些安全缺陷的存在讓接入網絡的智能攝像頭可以輕易被不法分子控制,隨時獲取攝像頭的圖像和語音信息,對安裝攝像頭的家庭或公司進行監控甚至網上直播。

　　■測試

　　名牌攝像頭

　　也可能被“攻陷”

　　測試人員選擇了一款在幾個大型網上商城銷量不錯的智能攝像頭,在360攻防實驗室專家劉健皓的幫助下進行了安全監測測試。

　　測試人員先在手機上隨便注冊了一個賬號,但是手機顯示并沒有設備接入到手機,頁面還在提示測試人員“添加設備”,安全專家用電腦進行了幾個簡單的操作,測試人員再次進行手機刷新,手機竟然綁定了攝像頭,頁面竟然出現了一些辦公室、廠庫、家庭房等地的場景。

　　測試人員看到一些家庭的客廳、臥室的物品,甚至還可以看到兩名穿著睡衣的女子在客廳內來回走動,客廳電視里正在播放著電視劇《歡樂頌》。另外一個家庭中,攝像頭安裝在了臥室,臥室的床鋪被褥擺設也一目了然,令人震驚。

　　劉健皓解釋,理論上來說,即使手機可以遠程看到攝像頭內容,但是必須注冊,甚至要求“一對一”。但是很多攝像頭與手機進行連接,并沒有對手機身份進行驗證,這是一個非常嚴重的漏洞,黑客可以通過漏洞,用一個虛擬的綁定就可以查看數百個攝像頭實時畫面。

　　而據劉健皓介紹,出現此漏洞的攝像頭至少有數十款,其中包括了一些很著名的品牌。

　　■警惕　汽車、無人機都曾被攻破

　　智能攝像頭是目前智能設備發展的一個縮影。隨著互聯網技術和智能技術的發展和應用普及,以互聯網化和智能化為核心的智能生活已經從“概念”成為真實可觸及的現實。世界正在以超寬帶速度進入“萬物互聯”時代。Gartner預計,2016年全球使用中的智能聯網設備將達到64億個,較2015年增長30%,2016年每天將新增550萬個智能聯網設備,而2020年智能聯網設備將增至208億個。美國科技行業咨詢公司Linley　Group預計到2020年,每一個家庭將會擁有大約十個智能聯網設備。

　　如同所有新技術,智能設備也存在硬幣的兩面,當人們被智能設備接入互聯網,人們的生活也因此具有了基于互聯網的高度關聯性和可訪問性,沒有足夠的安全保障,不僅智能設備對網絡環境構成了嚴重威脅,也會給人們的生活帶來不可預知的安全風險。

　　安全專家早就警告過物聯網存在的風險。當涉及到智能家居的時候,這些風險就變得更為可怕了。據著名科技博客網站Gigaom的一篇報道,企業安全研究公司Synack對16個常見的物聯網設備進行了測試,結果發現,它們都存在不同程度的安全問題,其中,聯網攝像頭是最不安全的。

　　早在2007年就有利用漏洞控制攝像機造成泄密的報道。當時黑客主要是通過攻擊電腦系統,獲得用戶主機的控制權,再打開探頭的。而隨著互聯網安全技術的發展,這樣的攻擊逐漸減少。取而代之的是對直接連在網絡上的網絡攝像機進行攻擊。

　　近年來,媒體報道行駛中的汽車可以被黑客接管失去控制、洗衣機也可能失控而高速旋轉,黑客通過智能手環可以直播日常活動,而智能攝像頭讓私生活在互聯網上被直播。

　　而在去年8月舉行的首屆HackPWN安全極客狂歡節上,多位白帽黑客們演示了破解汽車、洗衣機、電視、豆漿機、烤箱、智能手環、智能手機、無人機、智能監控系統、兒童學習機等關系人們衣食住行的智能設備,利用這些設備的安全漏洞,黑客不僅可以接管這些設備的控制權而為所欲為,還可以竊取用戶個人信息和個人數據。

　　■建議　選擇大品牌設置復雜密碼

　　家用攝像頭一般安放在客廳或是臥室里,一旦畫面泄露,個人隱私就不存在了。對此,專家建議,盡量使用有線連接,當設備是無線連接的時候,確保它們掉線時會通知到用戶。在購買攝像頭時,最好選擇大品牌的攝像頭,并及時修改初始密碼,密碼要使用數字、特殊符號和字母的組合,最好多于12個字符。向云端發送數據的時候,使用安全的連接,不要在設備上存儲數據,以免被黑。同時,要及時升級設備固件,修補安全漏洞。

　　不過對于多數智能設備用戶來說也不必過分擔心,因為大多數智能設備使用的網絡都是路由器內網,外界較難攻破,相對安全一些。當然最有效的辦法就是,在不使用的時候把攝像頭遮蔽住。

　　本版文/圖　本報記者　景毅

　　 （來源：半島網-半島都市報）