監(jiān)控變直播，你家的智能攝像頭安全嗎

近年來，通過安裝智能攝像頭看家護院，已成為許多“潮流”人士的選擇。然而不久前，國家質檢總局卻發(fā)布了一則質量安全風險警示，在受檢的40批次智能攝像頭中，32批次被曝出質量安全隱患，可能導致用戶監(jiān)控視頻泄露，甚至智能攝像頭被惡意控制等情形，使安全監(jiān)控變成了泄露隱私的直播，著實令人不安。

為什么盯上智能攝像頭

智能攝像頭，通常是指無須連接電腦，直接使用Wi-Fi聯(lián)網，搭載手機App后，可遠程實時查看監(jiān)控環(huán)境的智能家居產品。有的產品還支持視頻分享、遠程操作監(jiān)控視角、移動偵測報警等多種功能，因其具有安裝門檻低、操作簡單、功能強大等特點，受到了廣大用戶的青睞。

但不可否認，智能攝像頭也存在穩(wěn)定性差、安全性低等問題，很容易被黑客攻破，成為非法竊取用戶隱私的幫兇。以“智能攝像頭”“破解”等為關鍵詞在網上搜索，可以看到各種博客、貼吧、論壇、興趣群等公開討論智能攝像頭破解方法，甚至有不法人員網上兜售破解工具和教程，僅花費數(shù)百元即可買到被破解的IP地址、登錄賬號和密碼，不覺中已形成一條灰色產業(yè)鏈。而智能攝像頭被黑客和不法人員盯上，又與其自身使用特性不無關聯(lián)。

1.應用場所敏感。智能攝像頭一般用于重要場所、特殊位置的安防，隱私性很強，監(jiān)控數(shù)據(jù)敏感。例如，有不法人員在網上公開販賣破解教程的宣傳噱頭竟然是“浴室”“臥室”等，以此吸引眼球。

2.與移動網絡互聯(lián)。與傳統(tǒng)意義上的攝像頭不同，智能攝像頭可提供移動應用及網絡監(jiān)控管理，從而實現(xiàn)與智能手機的互操作。此外，用戶還可以遠程實現(xiàn)監(jiān)控畫面的放大、縮小、旋轉等功能，這種非接觸性的特點，無疑為黑客攻擊提供了便利。

3.衍生功能強大。為了增加賣點、提升使用體驗，越來越多的廠商為智能攝像頭開發(fā)了360度云臺、夜視、錄音、錄像、拍照、語音通話等附加功能。但功能的復雜勢必帶來更多的安全缺口，數(shù)據(jù)傳輸未加密，App未進行安全加固，軟件代碼存有缺陷，硬件調試接口可被橫向控制等安全缺陷，使得智能攝像頭愈加成為不法人員垂涎的目標。

黑客如何攻破智能攝像頭

黑客的攻擊過程主要分為兩步：第一步，在網絡空間中找到智能攝像頭。智能攝像頭在網絡空間中表現(xiàn)為一個節(jié)點，黑客利用自制的掃描軟件或公開的搜索引擎，搜索所有與互聯(lián)網關聯(lián)的服務器、攝像頭、打印機、路由器等，進而根據(jù)功能特征找到節(jié)點位置，準確定位其IP地址。

第二步，破解用戶賬號和密碼。黑客先利用智能攝像頭IP地址進入Web登錄界面，再利用邏輯推理或暴力破解等手段，獲得賬號和密碼，從而進入監(jiān)控系統(tǒng)，實現(xiàn)偷窺。需要說明的是，很多用戶安全意識不強，直接使用廠商默認的賬號和密碼，黑客根本無須費力破解，即可直接登錄。

而黑客之所以能破解智能攝像頭，回溯其設計和生產過程，不難從4方面發(fā)現(xiàn)問題。

1.訪問控制方面。一是用戶使用了弱口令。據(jù)統(tǒng)計，遭受攻擊的用戶中，賬號名稱大多為user、admin，密碼則是abc、123456等，復雜程度較低，經不起推敲，而廠商也未對用戶的密碼復雜程度進行限制。二是未限制默認賬戶的訪問權限。出于方便用戶使用和在線升級維護等原因，一般情況下，廠商不會對默認賬戶的訪問權限進行限制，否則可能會導致某些功能無法正常使用，黑客則恰好利用這一便利條件發(fā)起攻擊。

2.身份鑒別方面。一是廠商未提供登錄失敗處理功能，不能有效防范黑客的暴力破解和非法攻擊。二是智能攝像頭未采取結束會話、限制非法登錄和超時自動退出等措施，使用戶易遭受重放攻擊，即黑客盜取代表用戶身份的認證憑據(jù)后，再把它重新發(fā)給認證服務器，以達到欺騙的目的。而“賬戶+口令”的認證方式本身安全性就較弱，應采用電子密碼器、身份認證卡等更高級的方式，保護用戶身份不被冒用。

3.數(shù)據(jù)加密方面。一是用戶賬號、密碼明文存儲，或用戶注冊信息可被隨意查看，從而使黑客輕而易舉地取得管理權限。二是廠商后臺存有漏洞，致使海量視頻監(jiān)控數(shù)據(jù)被非法下載。三是監(jiān)控視頻存儲于本地或云端，尤其是存儲于本地的數(shù)據(jù)，未經加密處理，無法保證安全性，黑客下載后可直接使用。

4.更新功能方面。一是部分廠商為日后遠程調試設備，便于售后服務等原因，特意留下了“后門”，這種“后門”一般具有較高的權限，能夠修改智能攝像頭信息，甚至篡改設備本身，為黑客非法操控留下了可乘之機。二是部分廠商未提供系統(tǒng)和固件的更新功能，不能及時修補漏洞，一旦黑客掃描到系統(tǒng)漏洞并發(fā)起攻擊，系統(tǒng)不能及時響應和防護，造成了被動挨打的局面。

不可不知的安全策略

當前，隨著物聯(lián)網技術的飛速發(fā)展，對傳統(tǒng)硬件設備進行的智能化改造，實現(xiàn)了“人員-網絡-硬件”之間的無縫對接，在提高人們工作生活便捷性的同時，也帶來了紛繁復雜的網絡信息安全風險。當下，智能攝像頭不僅作為家用產品，在政府部門、部隊機關、企事業(yè)單位等均有應用，其安全性也須從設計、生產、選購、安裝、使用等全生命周期通盤考慮。

對廠商而言，應加大安全投入，嚴格按照國家標準和行業(yè)規(guī)范設計、生產、維護智能攝像頭，努力提高安全防御能力，具體可從3方面做起。

1.增強系統(tǒng)安全防御能力。智能攝像頭監(jiān)控系統(tǒng)包括監(jiān)控設備和移動應用兩部分。除了要在訪問控制、身份鑒別、數(shù)據(jù)加密等方面提高監(jiān)控設備的安全防御能力外，還須在App軟件設計、智能攝像頭固件更新等方面提高研發(fā)能力，減少安全漏洞。

2.確保云服務安全可靠。智能攝像頭的云服務由廠商運維保障，里面存儲著大量用戶注冊信息和海量視頻監(jiān)控數(shù)據(jù)，十分敏感，必須保證其獨立性。同時還要通過加密手段，確保監(jiān)控系統(tǒng)與云服務平臺之間的數(shù)據(jù)交互安全。

3.建強售后服務團隊。廠商應建立一支可靠的售后服務團隊，制定安全應急預案，一旦出現(xiàn)網絡安全問題，確保能夠及時處置、妥善應對。同時，廠商還有必要向廣大用戶及時發(fā)出安全提醒，在日常使用中更新安全知識。

而作為普通用戶，可以從以下方面采取防范措施。

1.選購知名品牌設備。眾所周知，知名廠商研發(fā)能力強，在設計和生產過程中比較注重安全問題，且售后服務較為完善，在更新系統(tǒng)、增打補丁、封堵漏洞等方面有一定的保障。

2.及時修改并定期更換密碼。智能攝像頭安裝完畢后，用戶要做的第一件事就是登錄Web管理界面或手機App，修改默認管理密碼，提高密碼的復雜度，并不時進行更換。

3.適時關閉智能攝像頭。例如，當有人在家時，可以采取切斷電源、拔除網線、關閉Wi-Fi等方式關閉智能攝像頭或切斷其與互聯(lián)網的連接，防止其在不必要的時間內工作。

4.避開敏感位置。尤其是帶有云臺的智能攝像頭，用戶要及時觀察監(jiān)控角度是否發(fā)生變化，以免受到外界操控。在日常使用中，還要及時升級相關應用，一旦發(fā)現(xiàn)問題，立即停用設備，并向廠商反饋，等待修復結果。

 

（原載于《保密工作》2017年第11期）