使用智能摄像头,王先生在单位即可实时观看家里的情况
技术人员轻松破解了一款正在工作的智能摄像头
随着人们安全防护意识的提高,近年来,智能摄像头已成为越来越多家庭的“标配”。连上WiFi,即便出门在外也可时时监控家中的情况。
近日,一份《国内智能家庭摄像头安全状况评估报告》显示,目前在国内上市销售的智能摄像头品牌多达107个,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固等安全缺陷。这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,随时通过图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。
也就是说,您安装的家庭“小卫士”,很有可能成为窃取您隐私的“直播机”。据半岛都市报
打开手机即可“看家”
随着物联网的迅速发展,一类智能网络摄像头日趋火爆起来。记者调查发现,网络摄像头的用户大多是为了“看家”更方便。有的是不放心年岁较大的父母,有的是监控年幼的孩子,有的是为了看家里宠物的情况,还有的是为了防盗。
青岛的王先生就为父母安装了这么一款家庭智能摄像头,与传统监控设施最大的不同是,该摄像头不需要线路传输监控画面,可以连接到WiFi,还可以安装sim卡,然后在手机里安装与摄像头匹配的APP,经过匹配调试后,点开手机就能查看摄像头监控画面,即便是在千里之外,只要手机和摄像头都能接入网络,家里的情况照样可以实时掌握。
记者在淘宝网上搜索网络摄像头,立即出现数千款相关产品,售价从几十元到数万元不等。价格越贵的摄像头功能越多,除了高清、夜视等功能外,一些摄像头还具备识别并捕捉活动物体的功能,当有人或者动物在镜头前面晃动时,摄像头就会自动记录下来。通过手机还可以调节摄像头的角度、拍摄范围等。
设备存漏洞,隐私遭直播
然而,用户在获得方便的同时,由于这类摄像头采用互联网传输,用户的隐私也可能在不知不觉中遭到泄露。
在一个名为“Shodan”的网站上,大量客厅、卧室的实时画面被“直播”,让人触目惊心。这些画面就来自网络摄像头。这些原本应该只有匹配的设备才能收看的画面是如何泄露出去的呢?据介绍,主要是因为许多摄像头存在一个名为“RTSP(实时流传输协议)”的安全漏洞。通过这个漏洞,只要下载一个播放器,就能“在线观看”他人隐私。
技术人员介绍,为方便用户远程监控摄像头内容,许多摄像头厂商会在摄像头中开启RTSP服务器,用户可通过VLC等视频播放软件打开RTSP地址进行摄像头画面的实时查看。但是,有的厂商并没有给RTSP地址做身份认证,导致本来属于隐私的摄像头画面变成“公开”模式,任何人都可以看到。
此前,技术人员曾专门做过实验。经过相关软件追踪扫描,技术人员的电脑里出现了多个摄像头画面。点进画面,右上方的时间显示,这正是摄像头看到的实时画面。这些摄像头画面有国内的也有国外的,画面包括客厅、楼道、停车场、办公室、收银台,甚至是卧室。
技术人员介绍,存在漏洞的摄像头IP地址是他们对互联网上所有的IP地址扫描后分析得到的。他们在扫描这一安全漏洞时发现,摄像头不但能够看到家里的情况,甚至还能听得到声音。这种能够被搜索到的摄像头,全国有9000多个。“Shodan”网上的摄像头画面,都是通过这一漏洞外泄的。
安全研究员贾文晓介绍,这些摄像头中有的没有密码,所以能够被搜索到。有的摄像头有默认口令,如“admin12345”这种比较简单的密码,一旦用户没有修改,摄像头所拍摄的画面也有可能被别人看到。此外,有的人在家里想知道办公室的情况,就主动将摄像头映射到公网上,这种情况下虽然看到了办公室的情况,自己家的情况也同时暴露了。
近八成智能摄像头存漏洞
专家介绍,目前在国内上市销售的智能摄像头品牌就多达107个,市场上销售的无品牌的山寨产品更是不计其数,然而由于参与智能摄像头设计生产和推广的相关企业繁杂,品牌众多,其中的很多产品都缺乏完善的安全相关设计,很容易被黑客控制。
日前360攻防实验室发布了中国首份《国内智能家庭摄像头安全状况评估报告》,在对国内市场上销售的近百个品牌的家庭智能摄像头进行的安全评估测试发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全漏洞。
工程师刘健皓介绍,这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,随时获取摄像头的图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。
■测试
名牌摄像头也可能被“攻陷”
测试人员选择了一款在几个大型网上商城销量不错的智能摄像头,在专家刘健皓的帮助下进行了安全监测测试。
测试人员先在手机上随便注册了一个账号,但是手机显示并没有设备接入到手机,页面还在提示测试人员“添加设备”,安全专家用电脑进行了几个简单的操作,测试人员再次进行手机刷新,手机竟然绑定了摄像头,页面竟然出现了一些办公室、厂库、家庭房等地的场景。
测试人员看到一些家庭的客厅、卧室的物品,甚至还可以看到两名穿着睡衣的女子在客厅内来回走动,客厅电视里正在播放着电视剧《欢乐颂》。另外一个家庭中,摄像头安装在了卧室,卧室的床铺被褥摆设也一目了然,令人震惊。
刘健皓解释,理论上来说,即使手机可以远程看到摄像头内容,但是必须注册,甚至要求“一对一”。但是很多摄像头与手机进行连接,并没有对手机身份进行验证,这是一个非常严重的漏洞,黑客可以通过漏洞,用一个虚拟的绑定就可以查看数百个摄像头实时画面。
而据刘健皓介绍,出现此漏洞的摄像头至少有数十款,其中包括了一些很著名的品牌。
■警惕
汽车、无人机都曾被攻破
早在2007年就有利用漏洞控制摄像机造成泄密的报道。当时黑客主要是通过攻击电脑系统,获得用户主机的控制权,再打开探头的。而随着互联网安全技术的发展,这样的攻击逐渐减少。取而代之的是对直接连在网络上的网络摄像机进行攻击。
近年来,媒体报道行驶中的汽车可以被黑客接管失去控制、洗衣机也可能失控而高速旋转,黑客通过智能手环可以直播日常活动,而智能摄像头让私生活在互联网上被直播。
而在去年8月举行的首届HackPWN安全极客狂欢节上,多位白帽黑客们演示了破解汽车、洗衣机、电视、豆浆机、烤箱、智能手环、智能手机、无人机、智能监控系统、儿童学习机等关系人们衣食住行的智能设备,利用这些设备的安全漏洞,黑客不仅可以接管这些设备的控制权而为所欲为,还可以窃取用户个人信息和个人数据。
■建议
选择大品牌设置复杂密码
家用摄像头一般安放在客厅或是卧室里,一旦画面泄露,个人隐私就不存在了。对此,专家建议,尽量使用有线连接,当设备是无线连接的时候,确保它们掉线时会通知到用户。在购买摄像头时,最好选择大品牌的摄像头,并及时修改初始密码,密码要使用数字、特殊符号和字母的组合,最好多于12个字符。向云端发送数据的时候,使用安全的连接,不要在设备上存储数据,以免被黑。同时,要及时升级设备固件,修补安全漏洞。
不过对于多数智能设备用户来说也不必过分担心,因为大多数智能设备使用的网络都是路由器内网,外界较难攻破,相对安全一些。当然最有效的办法就是,在不使用的时候把摄像头遮蔽住。
