在家里安装上智能摄像头,年轻的父母可以随时查看孩子的生活学习状况;
上班的子女能随时观察家中老人的情形,防止意外发生;
离家在外时还能够实时监控房屋财产安全状况,记录下不法人员的体态样貌,甚至还能远程报警……
近年来,随着互联网技术和智能技术的快速发展,家用智能摄像头的安装应用日益普及,给人们的日常生活、工作带来了极大的便利,但由此产生的隐私泄露等安全风险也如影相随。
有网友发现,自己正逛着网络论坛,电脑屏幕突然弹出自家客厅的照片,甚至日常生活的视频片段;有人正与家人在自家餐厅里吃着火锅唱着歌,或正在浴室里洗澡,自家的智能摄像头却当了“叛徒”,一不小心,在家里的吃喝拉撒都在网上被直播……
央视新闻频道称,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,有大量人员非法购买后利用摄像头进行偷窥,严重侵犯了公民个人隐私。
此外,大量家庭摄像头存在的安全问题,只需要通过特定的扫描软件,就能够攻破摄像头的IP
地址,不法分子将被破解的 IP 地址输入播放软件,就可以实现偷窥。
日前,质检总局发布摄像头抽样检测报告,结果显示40 批次产品中高达32批次存在安全风险。
那么,为何这些网络摄像头这么容易被攻破?
原因有很多,多存在于数据传输、弱密码口令、操作系统/固件更新、敏感信息的本地存储、身份鉴别、云平台等环节。
1.数据传输
根据质检总局的调查,28 批次样品数据传输未加密。如果在数据传输的过程中进行加密,即使黑客拦截相应的信息也只能看到代码,看不到实际摄像头拍下来的影像。
2.弱口令 / 密码
在该报告中,还有 20 批次存在弱口令,或者限制用户密码复杂度的问题。
有些产品生产出来以后,会设置非常简单密码,如“0000”,“123456”等,很容易被黑客破解。
3.操作系统 / 固件更新
还有 10 批次样品在操作系统更新有问题:未提供固件更新修复功能或者固件更新方式不安全。
4.敏感信息的本地存储
16
批次样品的密码等敏感数据在本地存储时未采取加密保护措施。各个厂家对本地存储的理解不一样,小厂家将本地存储认定为 用户自己的行为——你已经存储到本地,用户自己保存就好,不会采取任何安全防护措施。
最好的做法还是本地以及云端都采用加密存储的方式。
5.身份鉴别
18
批次样品在身份鉴别方面未提供登录失败处理功能。
有很多厂商在产品生产后没有对反复登录频次进行限制,以至很多黑客可以反复尝试密码,用用户信息或者其他密码尝试一直到攻破摄像机。
6.云平台
10
批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。
在互联网时代,智能家居是大势所趋。面对出现的漏洞,一些企业已经开始寻求应对的办法。厂家和用户之间的协作、厂家之间的协作、行业之间的协作。只有直面现实,及时发现产品存在的缺陷和漏洞,从而不断完善,方能为消费者提供真正安全放心的智能化产品和服务。
广州天畅安全专家提醒大家:
1.更改设备初始密码;
2.不要将摄像头对准家中私密位置,回家后可将摄像头关闭,或断开网络;
3.确保打开防火墙,及时更新安全软件。
一旦隐私被泄露,应通过法律渠道维护自身权益。购买智能家庭摄像头时,尽可能要求厂商将对产品保密性能方面的承诺写在合同上,一旦发生了纠纷,既能要求厂商在技术上解决问题,又能够正当索赔和维权。