現(xiàn)如今，下載一個(gè)與智能攝像頭相關(guān)的應(yīng)用程序，就能隨時(shí)用手機(jī)查看家里的情況：老人是否出現(xiàn)意外，保姆帶娃是否盡責(zé)，家庭財(cái)產(chǎn)是否安全。這是物聯(lián)網(wǎng)技術(shù)帶給我們生活上的便利，聽上去真是一部和諧美滿的“家庭喜劇”？可是如果你知道除了自己以外，還有成百上千雙陌生的眼睛在盯著你家，“喜劇”可就秒變“恐怖片”了！
 

　　近日，央視新聞客戶端曝光的一則消息引起了人們的廣泛關(guān)注：目前智能家庭攝像頭泄漏隱私已經(jīng)成為火熱的生意，只要將被破解的IP地址輸入播放軟件，就可以實(shí)現(xiàn)偷窺，不被覺察。
 

　　記者同志以大無畏的“臥底精神”深入敵方，詳細(xì)了解了這一過程。從實(shí)際體驗(yàn)的情況來看，只需花費(fèi)188元(沒錯(cuò)，不要988，不要688，只要188)，就能在一些QQ群內(nèi)輕松買到大量IP賬號(hào)，而這些IP地址配合被破解的登錄名密碼以及相應(yīng)軟件后，就能輕松入侵基本上所有的家庭智能攝像頭。
 

圖：記者體驗(yàn)實(shí)況
 

　　那么智能攝像頭的IP地址是怎么落到別人手中的？登錄的密碼怎么也會(huì)一同泄露呢？國家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師高勝表示，用一些弱口令密碼，做大范圍的掃描。弱口令就是一些user或者admin。
 

　　更夸張的是，除了家庭智能攝像頭外，城市管理、交通監(jiān)測(cè)的公共攝像頭中，也大量存在使用弱口令便可以打開的隱患。
 

　　智能攝像頭和我們的“命”(家庭人身安全)和“錢”(家庭財(cái)產(chǎn)安全)息息相關(guān)，難怪消息一出，人心惶惶，物聯(lián)網(wǎng)設(shè)備安全問題被又一次推上風(fēng)口浪尖。
 

　　其實(shí)，這遠(yuǎn)不是攝像頭第一次出事了。說到智能攝像頭造成的安全事件，最有名的就要屬去年十月Mirai 病毒使得大半個(gè)美國互聯(lián)網(wǎng)陷入癱瘓那次：黑客通過互聯(lián)網(wǎng)控制了大量物聯(lián)網(wǎng)設(shè)備，然后操縱這些“肉雞”攻擊了美國的多個(gè)知名網(wǎng)站，包括 Twitter、Paypal、Spotify 在內(nèi)多個(gè)人們每天都用的網(wǎng)站被迫中斷服務(wù)。
 

　　事故原因調(diào)查表明，這些淪為“肉雞”的物聯(lián)網(wǎng)設(shè)備中有大量的 DVR(數(shù)字錄像機(jī)，一般用來記錄監(jiān)控錄像，用戶可聯(lián)網(wǎng)查看)和網(wǎng)絡(luò)攝像頭(通過 Wifi 來聯(lián)網(wǎng)，用戶可以使用 App 進(jìn)行實(shí)時(shí)查看的攝像頭)。而據(jù)安全公司的數(shù)據(jù)顯示，參與本次 DDoS 攻擊的設(shè)備中，主要來自于中國雄邁科技生產(chǎn)的設(shè)備。這家公司生產(chǎn)的攝像模組被許多網(wǎng)絡(luò)攝像頭、DVR 解決方案廠家采用，在美國大量銷售。
 

　　好吧，不但是攝像頭的鍋，還是中國廠商攝像頭的鍋！不過，今天的文章可不談具體怎么執(zhí)行入侵這一操作，畢竟像筆者這種大好青年還不想年紀(jì)輕輕就進(jìn)局子里蹲著。我們這次來說說，為什么在近年來頻發(fā)的物聯(lián)網(wǎng)安全事故中，受傷的總是攝像頭？
 

　　第一，視頻將很快占據(jù)絕大多數(shù)移動(dòng)數(shù)據(jù)流量，智能攝像頭成發(fā)展大勢(shì)
 

　　從需求側(cè)來說：智慧城市的建設(shè)對(duì)視頻數(shù)據(jù)的需求急劇增加。構(gòu)建智慧城市需要城市中各處的攝像頭記錄一天內(nèi)發(fā)生了什么——通過視頻分析，既能幫助公安部門進(jìn)行犯罪追蹤，也能幫助交通領(lǐng)域分析各個(gè)路段的路況，以為司機(jī)和出行的人們提供更便捷的信息。在家居領(lǐng)域，由于人們對(duì)個(gè)人財(cái)產(chǎn)和家人安全的保護(hù)意識(shí)逐步提升，智能攝像頭、可視門鈴等產(chǎn)品市場(chǎng)火熱。
 

　　2015 年5 月，發(fā)改委發(fā)布了由九部委聯(lián)合出臺(tái)《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見》，首次量化了2020 年視頻監(jiān)控布控的總體目標(biāo)：到2020 年重點(diǎn)公共區(qū)域視頻監(jiān)控覆蓋率達(dá)到100%，另外，要求重點(diǎn)行業(yè)、領(lǐng)域涉及公共區(qū)域的視頻圖像資源聯(lián)網(wǎng)率達(dá)到100%。
 

圖：《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見》
 

　　從供給側(cè)來說，攝像頭從標(biāo)清到高清的跨越，實(shí)現(xiàn)了視頻監(jiān)控從“看得見”到“看得清”的轉(zhuǎn)變。高清攝像頭不僅讓人類看得更清楚，也能讓機(jī)器“看”得更清楚，從而讓機(jī)器更容易從中“讀懂”畫面的內(nèi)容，更準(zhǔn)確地提取人們關(guān)注的有效信息。網(wǎng)絡(luò)化攝像頭使得實(shí)時(shí)智能視頻分析成為現(xiàn)實(shí)，在智能攝像頭發(fā)展大潮下代表攝像頭未來的發(fā)展趨勢(shì)。
 

　　智能攝像頭既面向海量消費(fèi)者，又背靠智慧城市建設(shè)過程中的大量企業(yè)級(jí)用戶，和一般的智能硬件相比，出貨量比較大。盤子大了，市場(chǎng)大了，又和人們的生活、財(cái)產(chǎn)、安全息息相關(guān)，不法之徒才會(huì)覺得有機(jī)可乘。
 

　　第二，大量市售智能攝像頭存在安全隱患
 

　　正所謂蒼蠅不盯無縫的蛋，何況你給人家不法分子留了那么大一條縫兒~360去年發(fā)布了一份《國內(nèi)智能家庭攝像頭安全狀況評(píng)估報(bào)告》，在對(duì)國內(nèi)近百個(gè)品牌的智能攝像頭進(jìn)行測(cè)試后發(fā)現(xiàn)，有近8成產(chǎn)品存在安全缺陷。
 

　　傳輸未加密：大部分?jǐn)z像頭采用HTTPS協(xié)議進(jìn)行傳輸加密，但由于API接口配置不當(dāng)，導(dǎo)致加密容易被破解。另外有一些攝像頭使用RTSP協(xié)議傳輸，但是協(xié)議內(nèi)容是明文傳輸?shù)?，這樣只要把地址復(fù)制到一個(gè)支持RTSP協(xié)議的播放器內(nèi)，就可以獲得當(dāng)前智能攝像頭的界面。
 

　　未存在人機(jī)識(shí)別機(jī)制：在注冊(cè)、找回密碼等流程都需要人機(jī)識(shí)別機(jī)制來進(jìn)行安全驗(yàn)證，但許多攝像頭沒有人機(jī)識(shí)別機(jī)制，或者人機(jī)識(shí)別機(jī)制存在于本地，導(dǎo)致用戶密碼可被強(qiáng)制修改。
 

　　多數(shù)智能設(shè)備可橫向控制：在控制一個(gè)攝像頭之后，通過逆向分析、網(wǎng)絡(luò)活動(dòng)分析等手段判斷出控制設(shè)備的標(biāo)識(shí)和指令，如果沒有防重放參數(shù)就可以直播使用，然后根據(jù)一個(gè)或多個(gè)的設(shè)備控制標(biāo)識(shí)預(yù)測(cè)出其它設(shè)備控制標(biāo)識(shí)，從而橫向控制大量智能設(shè)備。
 

　　客戶端沒有安全加固：大量攝像頭app沒有進(jìn)行混淆、加固，可以被輕易的逆向分析出源代碼。代碼邏輯設(shè)備有缺陷：一些代碼設(shè)計(jì)缺陷也可能造成設(shè)備被控制，比如驗(yàn)證碼生成，一些開發(fā)者為了節(jié)省資源，將生成機(jī)制放在本地，有的甚至可以直接看到驗(yàn)證碼，有的則可以暴力破解。缺少遠(yuǎn)程更新機(jī)制：設(shè)備有漏洞就需要更新來補(bǔ)上，但很多攝像頭都沒有遠(yuǎn)程固件更新機(jī)制等等。這些問題可能導(dǎo)致用戶監(jiān)控視頻被泄露，或智能攝像頭被惡意控制等種種危害。
 

　　同樣是在6月18日，國家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)：共從市場(chǎng)上采集樣品40批次，依據(jù)國標(biāo)，對(duì)操作系統(tǒng)的更新、惡意代碼防護(hù)、身份鑒別、弱口令校驗(yàn)、訪問控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲(chǔ)數(shù)據(jù)保護(hù)等項(xiàng)目進(jìn)行了檢測(cè)。結(jié)果表明：32批次樣品存在質(zhì)量安全隱患。
 

　　其中，20批次樣品初始密碼為弱口令，或者用戶注冊(cè)和修改密碼時(shí)未限制用戶密碼復(fù)雜度，這一點(diǎn)也是大部分物聯(lián)網(wǎng)設(shè)備都存在的最典型的安全隱患。對(duì)此，F(xiàn)lashpoint 安全公司的專家曾經(jīng)表示：“如果說用戶可以輕松改密碼就好了，但是模組中的密碼被寫入到了固件中，還沒有工具可以修改這個(gè)模組的密碼。更可怕的是，用戶根本不知道還有這么一個(gè)密碼的存在。”
 

　　的確，如果你是一個(gè)向消費(fèi)者市場(chǎng)發(fā)布此類產(chǎn)品的公司，你不能期待消費(fèi)者擁有相關(guān)的安全知識(shí)，因此，安全問題需要從設(shè)計(jì)之初就開始考慮。
 

　　智能攝像頭的安全問題可謂種類繁多，對(duì)廠商來說，需要從云端、硬件端和客戶端三方面都做好安全設(shè)計(jì)；而對(duì)智能攝像頭的用戶來說，自我防范意識(shí)也很重要，具體來說應(yīng)做到以下幾點(diǎn)：
 

　　1.不要使用原始預(yù)設(shè)的或過于簡(jiǎn)單的用戶名與密碼，而且要定期進(jìn)行更換； 

　　2.攝像頭不要正對(duì)臥室、浴室等隱私區(qū)域，并要經(jīng)常檢查攝像頭的角度是否發(fā)生變化； 

　　3.養(yǎng)成定期查殺病毒的好習(xí)慣。 

　　4.及時(shí)更新智能攝像頭操作系統(tǒng)版本和相關(guān)的移動(dòng)應(yīng)用，發(fā)現(xiàn)異常應(yīng)立即停止使用，并向生產(chǎn)廠商反饋，等待廠商修復(fù)。

• 新婚之夜男子在房間偷偷安置攝像頭
• 老人砸攝像頭被拘絕食288天 為維權(quán)住法院前8月
• 酒店攝像頭對(duì)床鋪 女住客穿衣睡覺畫面全程被拍
• 上海豫園宜必思酒店攝像頭對(duì)床鋪 社會(huì)影響十分惡劣
• 上海豫園宜必思酒店攝像頭對(duì)床鋪 酒店回應(yīng)為安全考慮
• 深圳物聯(lián)網(wǎng)產(chǎn)業(yè)優(yōu)勢(shì)凸顯 相關(guān)骨干企業(yè)超高射頻產(chǎn)品占據(jù)國內(nèi)
• 新娘伴娘酒店換衣服 全過程被房間里攝像頭拍下
• 深圳連發(fā)生多起公交車輛道路交通安全事故(圖文)
• yy女主播忘關(guān)攝像頭