使用智能摄像头,王先生在单位即可实时观看家里的情况。
360攻防实验室技术人员轻松破解了一款正在工作的智能摄像头。
男子潜入宾馆女厕安装摄像头一事经本报报道后引发读者关注。除了谴责当事人的不齿行径外,读者更对用手机就能轻松接收视频的网络摄像头感到担忧。记者调查发现,这类智能摄像头其实已经成为不少年轻人青睐的家庭智能设备。然而,由于缺乏安全标准,360攻防实验室专家检测发现,近八成产品存在用户信息泄露、数据传输未加密等问题,黑客可以远程获取用户的隐私画面。
打开手机即可“看家” 以往人们对摄像头的印象要么是固定在电脑、手机等终端设备上的视频获得器材,要么是专业人员安装在公共环境中用来监控突发状况的设备。然而随着物联网的迅速发展,一类智能网络摄像头日趋火爆起来。记者调查发现,网络摄像头的用户大多是为了“看家”更方便。有的是不放心年岁较大的父母,有的是监控年幼的孩子,有的是为了看家里宠物的情况,还有的是为了防盗。
家住浮山后的王先生就为父母安装了这么一款家庭智能摄像头,与传统监控设施最大的不同是,该摄像头不需要线路传输监控画面,可以连接到WiFi,还可以安装sim卡,然后在手机里安装与摄像头匹配的APP,经过匹配调试后,点开手机就能查看摄像头监控画面,即便是在千里之外,只要手机和摄像头都能接入网络,家里的情况照样可以实时掌握。
在银川西路软件园工作的孔女士前段时间也购置了一台智能摄像头,方便随时看看家里宝宝和老人的情况。“孩子刚7个月大,我和她爸爸平时都得上班,我母亲一个人在家照顾孩子,老人年纪大了腿脚不大灵便,放个摄像头在家里我们安心多了,一旦孩子或者老人有个突发情况,我们可以第一时间发现赶回去。”孔女士说,除此之外,由于摄像头可以传输音频,夫妻俩还可以通过手机跟家里的孩子老人说说话,感觉挺好玩的。
记者在淘宝网上搜索网络摄像头,立即出现数千款相关产品,售价从几十元到数万元不等。价格越贵的摄像头功能越多,除了高清、夜视等功能外,一些摄像头还具备识别并捕捉活动物体的功能,当有人或者动物在镜头前面晃动时,摄像头就会自动记录下来。通过手机还可以调节摄像头的角度、拍摄范围等。
记者注意到,该类摄像头销售情况较好,多款产品的月度销售量已经过万。从顾客评价看,很多买家都是安装在家庭里,方便上班时关注家里孩子或者老人的状况。
设备存漏洞,隐私遭直播 然而,用户在获得方便的同时,由于这类摄像头采用互联网传输,用户的隐私也可能在不知不觉中遭到泄露。
在一个名为“Shodan”的网站上,大量客厅、卧室的实时画面被发到网上,让人触目惊心。这些画面就来自网络摄像头。这些原本应该只有匹配的设备才能收看的画面是如何泄露出去的呢?360攻防实验室介绍,主要是因为许多摄像头存在一个名为“RTSP(实时流传输协议)”的安全漏洞。通过这个漏洞,只要下载一个播放器,就能“在线观看”他人隐私。
360攻防实验室的技术人员介绍,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头中开启RTSP服务器,用户可通过VLC等视频播放软件打开RTSP地址进行摄像头画面的实时查看。但是,有的厂商并没有给RTSP地址做身份认证,导致本来属于隐私的摄像头画面变成“公开”模式,任何人都可以看到。
此前,技术人员曾专门做过实验。经过相关软件追踪扫描,技术人员的电脑里出现了多个摄像头画面。点进画面,右上方的时间显示,这正是摄像头看到的实时画面。这些摄像头画面有国内的也有国外的,画面包括客厅、楼道、停车场、办公室、收银台,甚至是卧室。
技术人员介绍,存在漏洞的摄像头IP地址是他们对互联网上所有的IP地址扫描后分析得到的。他们在扫描这一安全漏洞时发现,摄像头不但能够看到家里的情况,甚至还能听得到声音。这种能够被搜索到的摄像头,全国有9000多个。“Shodan”网上的摄像头画面,都是通过这一漏洞外泄的。
360攻防实验室安全研究员贾文晓介绍,这些摄像头中有的因为没有密码,所以能够被搜索到。有的摄像头有默认口令,比如像“admin12345”这种比较简单的密码,一旦用户没有修改,摄像头所拍摄的画面也有可能被别人看到。此外,有的人在家里想知道办公室的情况,就主动将摄像头映射到公网上,这种虽然看到了办公室的情况,自己家的情况也同时暴露了。
近八成智能摄像头存安全漏洞 专家介绍,目前在国内上市销售的智能摄像头品牌就多达107个,市场上销售的无品牌的山寨产品更是不计其数,然而由于参与智能摄像头设计生产和推广的相关企业繁杂,品牌众多,其中的很多产品都缺乏完善的安全相关设计,很容易被黑客控制。
5月11日360攻防实验室发布了中国首份《国内智能家庭摄像头安全状况评估报告》,在对国内市场上销售的近百个品牌的家庭智能摄像头进行的安全评估测试发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全漏洞。
360攻防实验室安全工程师刘健皓介绍,这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,随时获取摄像头的图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。
■测试
名牌摄像头
也可能被“攻陷” 测试人员选择了一款在几个大型网上商城销量不错的智能摄像头,在360攻防实验室专家刘健皓的帮助下进行了安全监测测试。
测试人员先在手机上随便注册了一个账号,但是手机显示并没有设备接入到手机,页面还在提示测试人员“添加设备”,安全专家用电脑进行了几个简单的操作,测试人员再次进行手机刷新,手机竟然绑定了摄像头,页面竟然出现了一些办公室、厂库、家庭房等地的场景。
测试人员看到一些家庭的客厅、卧室的物品,甚至还可以看到两名穿着睡衣的女子在客厅内来回走动,客厅电视里正在播放着电视剧《欢乐颂》。另外一个家庭中,摄像头安装在了卧室,卧室的床铺被褥摆设也一目了然,令人震惊。
刘健皓解释,理论上来说,即使手机可以远程看到摄像头内容,但是必须注册,甚至要求“一对一”。但是很多摄像头与手机进行连接,并没有对手机身份进行验证,这是一个非常严重的漏洞,黑客可以通过漏洞,用一个虚拟的绑定就可以查看数百个摄像头实时画面。
而据刘健皓介绍,出现此漏洞的摄像头至少有数十款,其中包括了一些很著名的品牌。
■警惕 汽车、无人机都曾被攻破 智能摄像头是目前智能设备发展的一个缩影。随着互联网技术和智能技术的发展和应用普及,以互联网化和智能化为核心的智能生活已经从“概念”成为真实可触及的现实。世界正在以超宽带速度进入“万物互联”时代。Gartner预计,2016年全球使用中的智能联网设备将达到64亿个,较2015年增长30%,2016年每天将新增550万个智能联网设备,而2020年智能联网设备将增至208亿个。美国科技行业咨询公司Linley Group预计到2020年,每一个家庭将会拥有大约十个智能联网设备。
如同所有新技术,智能设备也存在硬币的两面,当人们被智能设备接入互联网,人们的生活也因此具有了基于互联网的高度关联性和可访问性,没有足够的安全保障,不仅智能设备对网络环境构成了严重威胁,也会给人们的生活带来不可预知的安全风险。
安全专家早就警告过物联网存在的风险。当涉及到智能家居的时候,这些风险就变得更为可怕了。据著名科技博客网站Gigaom的一篇报道,企业安全研究公司Synack对16个常见的物联网设备进行了测试,结果发现,它们都存在不同程度的安全问题,其中,联网摄像头是最不安全的。
早在2007年就有利用漏洞控制摄像机造成泄密的报道。当时黑客主要是通过攻击电脑系统,获得用户主机的控制权,再打开探头的。而随着互联网安全技术的发展,这样的攻击逐渐减少。取而代之的是对直接连在网络上的网络摄像机进行攻击。
近年来,媒体报道行驶中的汽车可以被黑客接管失去控制、洗衣机也可能失控而高速旋转,黑客通过智能手环可以直播日常活动,而智能摄像头让私生活在互联网上被直播。
而在去年8月举行的首届HackPWN安全极客狂欢节上,多位白帽黑客们演示了破解汽车、洗衣机、电视、豆浆机、烤箱、智能手环、智能手机、无人机、智能监控系统、儿童学习机等关系人们衣食住行的智能设备,利用这些设备的安全漏洞,黑客不仅可以接管这些设备的控制权而为所欲为,还可以窃取用户个人信息和个人数据。
■建议 选择大品牌设置复杂密码 家用摄像头一般安放在客厅或是卧室里,一旦画面泄露,个人隐私就不存在了。对此,专家建议,尽量使用有线连接,当设备是无线连接的时候,确保它们掉线时会通知到用户。在购买摄像头时,最好选择大品牌的摄像头,并及时修改初始密码,密码要使用数字、特殊符号和字母的组合,最好多于12个字符。向云端发送数据的时候,使用安全的连接,不要在设备上存储数据,以免被黑。同时,要及时升级设备固件,修补安全漏洞。
不过对于多数智能设备用户来说也不必过分担心,因为大多数智能设备使用的网络都是路由器内网,外界较难攻破,相对安全一些。当然最有效的办法就是,在不使用的时候把摄像头遮蔽住。
本版文/图 本报记者 景毅
(来源:半岛网-半岛都市报)