近年來(lái),通過(guò)安裝智能攝像頭看家護(hù)院���,已成為許多“潮流”人士的選擇����。然而不久前,國(guó)家質(zhì)檢總局卻發(fā)布了一則質(zhì)量安全風(fēng)險(xiǎn)警示����,在受檢的40批次智能攝像頭中,32批次被曝出質(zhì)量安全隱患���,可能導(dǎo)致用戶監(jiān)控視頻泄露���,甚至智能攝像頭被惡意控制等情形,使安全監(jiān)控變成了泄露隱私的直播���,著實(shí)令人不安���。
為什么盯上智能攝像頭
智能攝像頭,通常是指無(wú)須連接電腦����,直接使用Wi-Fi聯(lián)網(wǎng),搭載手機(jī)App后����,可遠(yuǎn)程實(shí)時(shí)查看監(jiān)控環(huán)境的智能家居產(chǎn)品。有的產(chǎn)品還支持視頻分享����、遠(yuǎn)程操作監(jiān)控視角���、移動(dòng)偵測(cè)報(bào)警等多種功能,因其具有安裝門檻低����、操作簡(jiǎn)單、功能強(qiáng)大等特點(diǎn)���,受到了廣大用戶的青睞���。
但不可否認(rèn),智能攝像頭也存在穩(wěn)定性差���、安全性低等問(wèn)題,很容易被黑客攻破���,成為非法竊取用戶隱私的幫兇���。以“智能攝像頭”“破解”等為關(guān)鍵詞在網(wǎng)上搜索,可以看到各種博客����、貼吧���、論壇、興趣群等公開(kāi)討論智能攝像頭破解方法����,甚至有不法人員網(wǎng)上兜售破解工具和教程,僅花費(fèi)數(shù)百元即可買到被破解的IP地址���、登錄賬號(hào)和密碼���,不覺(jué)中已形成一條灰色產(chǎn)業(yè)鏈。而智能攝像頭被黑客和不法人員盯上����,又與其自身使用特性不無(wú)關(guān)聯(lián)。
1.應(yīng)用場(chǎng)所敏感����。智能攝像頭一般用于重要場(chǎng)所、特殊位置的安防���,隱私性很強(qiáng)����,監(jiān)控?cái)?shù)據(jù)敏感。例如����,有不法人員在網(wǎng)上公開(kāi)販賣破解教程的宣傳噱頭竟然是“浴室”“臥室”等,以此吸引眼球���。
2.與移動(dòng)網(wǎng)絡(luò)互聯(lián)����。與傳統(tǒng)意義上的攝像頭不同����,智能攝像頭可提供移動(dòng)應(yīng)用及網(wǎng)絡(luò)監(jiān)控管理,從而實(shí)現(xiàn)與智能手機(jī)的互操作���。此外,用戶還可以遠(yuǎn)程實(shí)現(xiàn)監(jiān)控畫面的放大���、縮小���、旋轉(zhuǎn)等功能���,這種非接觸性的特點(diǎn),無(wú)疑為黑客攻擊提供了便利����。
3.衍生功能強(qiáng)大。為了增加賣點(diǎn)���、提升使用體驗(yàn)����,越來(lái)越多的廠商為智能攝像頭開(kāi)發(fā)了360度云臺(tái)���、夜視����、錄音���、錄像���、拍照、語(yǔ)音通話等附加功能。但功能的復(fù)雜勢(shì)必帶來(lái)更多的安全缺口���,數(shù)據(jù)傳輸未加密���,App未進(jìn)行安全加固,軟件代碼存有缺陷���,硬件調(diào)試接口可被橫向控制等安全缺陷����,使得智能攝像頭愈加成為不法人員垂涎的目標(biāo)���。
黑客如何攻破智能攝像頭
黑客的攻擊過(guò)程主要分為兩步:第一步����,在網(wǎng)絡(luò)空間中找到智能攝像頭���。智能攝像頭在網(wǎng)絡(luò)空間中表現(xiàn)為一個(gè)節(jié)點(diǎn)����,黑客利用自制的掃描軟件或公開(kāi)的搜索引擎���,搜索所有與互聯(lián)網(wǎng)關(guān)聯(lián)的服務(wù)器����、攝像頭���、打印機(jī)����、路由器等���,進(jìn)而根據(jù)功能特征找到節(jié)點(diǎn)位置����,準(zhǔn)確定位其IP地址����。
第二步,破解用戶賬號(hào)和密碼����。黑客先利用智能攝像頭IP地址進(jìn)入Web登錄界面,再利用邏輯推理或暴力破解等手段���,獲得賬號(hào)和密碼���,從而進(jìn)入監(jiān)控系統(tǒng)���,實(shí)現(xiàn)偷窺。需要說(shuō)明的是���,很多用戶安全意識(shí)不強(qiáng)����,直接使用廠商默認(rèn)的賬號(hào)和密碼����,黑客根本無(wú)須費(fèi)力破解,即可直接登錄����。
而黑客之所以能破解智能攝像頭,回溯其設(shè)計(jì)和生產(chǎn)過(guò)程����,不難從4方面發(fā)現(xiàn)問(wèn)題。
1.訪問(wèn)控制方面����。一是用戶使用了弱口令���。據(jù)統(tǒng)計(jì)���,遭受攻擊的用戶中����,賬號(hào)名稱大多為user���、admin����,密碼則是abc����、123456等,復(fù)雜程度較低���,經(jīng)不起推敲����,而廠商也未對(duì)用戶的密碼復(fù)雜程度進(jìn)行限制。二是未限制默認(rèn)賬戶的訪問(wèn)權(quán)限����。出于方便用戶使用和在線升級(jí)維護(hù)等原因,一般情況下���,廠商不會(huì)對(duì)默認(rèn)賬戶的訪問(wèn)權(quán)限進(jìn)行限制���,否則可能會(huì)導(dǎo)致某些功能無(wú)法正常使用,黑客則恰好利用這一便利條件發(fā)起攻擊����。
2.身份鑒別方面。一是廠商未提供登錄失敗處理功能���,不能有效防范黑客的暴力破解和非法攻擊���。二是智能攝像頭未采取結(jié)束會(huì)話、限制非法登錄和超時(shí)自動(dòng)退出等措施����,使用戶易遭受重放攻擊,即黑客盜取代表用戶身份的認(rèn)證憑據(jù)后����,再把它重新發(fā)給認(rèn)證服務(wù)器����,以達(dá)到欺騙的目的����。而“賬戶+口令”的認(rèn)證方式本身安全性就較弱���,應(yīng)采用電子密碼器���、身份認(rèn)證卡等更高級(jí)的方式,保護(hù)用戶身份不被冒用����。
3.數(shù)據(jù)加密方面。一是用戶賬號(hào)����、密碼明文存儲(chǔ),或用戶注冊(cè)信息可被隨意查看����,從而使黑客輕而易舉地取得管理權(quán)限����。二是廠商后臺(tái)存有漏洞����,致使海量視頻監(jiān)控?cái)?shù)據(jù)被非法下載。三是監(jiān)控視頻存儲(chǔ)于本地或云端����,尤其是存儲(chǔ)于本地的數(shù)據(jù),未經(jīng)加密處理����,無(wú)法保證安全性,黑客下載后可直接使用����。
4.更新功能方面。一是部分廠商為日后遠(yuǎn)程調(diào)試設(shè)備���,便于售后服務(wù)等原因����,特意留下了“后門”,這種“后門”一般具有較高的權(quán)限����,能夠修改智能攝像頭信息,甚至篡改設(shè)備本身����,為黑客非法操控留下了可乘之機(jī)。二是部分廠商未提供系統(tǒng)和固件的更新功能���,不能及時(shí)修補(bǔ)漏洞����,一旦黑客掃描到系統(tǒng)漏洞并發(fā)起攻擊����,系統(tǒng)不能及時(shí)響應(yīng)和防護(hù)���,造成了被動(dòng)挨打的局面���。
不可不知的安全策略
當(dāng)前,隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展���,對(duì)傳統(tǒng)硬件設(shè)備進(jìn)行的智能化改造����,實(shí)現(xiàn)了“人員-網(wǎng)絡(luò)-硬件”之間的無(wú)縫對(duì)接,在提高人們工作生活便捷性的同時(shí)����,也帶來(lái)了紛繁復(fù)雜的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。當(dāng)下����,智能攝像頭不僅作為家用產(chǎn)品,在政府部門����、部隊(duì)機(jī)關(guān)、企事業(yè)單位等均有應(yīng)用���,其安全性也須從設(shè)計(jì)���、生產(chǎn)、選購(gòu)���、安裝����、使用等全生命周期通盤考慮。
對(duì)廠商而言���,應(yīng)加大安全投入����,嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范設(shè)計(jì)���、生產(chǎn)���、維護(hù)智能攝像頭,努力提高安全防御能力���,具體可從3方面做起。
1.增強(qiáng)系統(tǒng)安全防御能力���。智能攝像頭監(jiān)控系統(tǒng)包括監(jiān)控設(shè)備和移動(dòng)應(yīng)用兩部分����。除了要在訪問(wèn)控制���、身份鑒別���、數(shù)據(jù)加密等方面提高監(jiān)控設(shè)備的安全防御能力外����,還須在App軟件設(shè)計(jì)����、智能攝像頭固件更新等方面提高研發(fā)能力,減少安全漏洞���。
2.確保云服務(wù)安全可靠����。智能攝像頭的云服務(wù)由廠商運(yùn)維保障����,里面存儲(chǔ)著大量用戶注冊(cè)信息和海量視頻監(jiān)控?cái)?shù)據(jù),十分敏感���,必須保證其獨(dú)立性����。同時(shí)還要通過(guò)加密手段,確保監(jiān)控系統(tǒng)與云服務(wù)平臺(tái)之間的數(shù)據(jù)交互安全����。
3.建強(qiáng)售后服務(wù)團(tuán)隊(duì)。廠商應(yīng)建立一支可靠的售后服務(wù)團(tuán)隊(duì)����,制定安全應(yīng)急預(yù)案,一旦出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題���,確保能夠及時(shí)處置���、妥善應(yīng)對(duì)。同時(shí)����,廠商還有必要向廣大用戶及時(shí)發(fā)出安全提醒,在日常使用中更新安全知識(shí)����。
而作為普通用戶���,可以從以下方面采取防范措施����。
1.選購(gòu)知名品牌設(shè)備。眾所周知����,知名廠商研發(fā)能力強(qiáng),在設(shè)計(jì)和生產(chǎn)過(guò)程中比較注重安全問(wèn)題���,且售后服務(wù)較為完善����,在更新系統(tǒng)���、增打補(bǔ)丁����、封堵漏洞等方面有一定的保障���。
2.及時(shí)修改并定期更換密碼���。智能攝像頭安裝完畢后,用戶要做的第一件事就是登錄Web管理界面或手機(jī)App����,修改默認(rèn)管理密碼����,提高密碼的復(fù)雜度���,并不時(shí)進(jìn)行更換����。
3.適時(shí)關(guān)閉智能攝像頭����。例如,當(dāng)有人在家時(shí)���,可以采取切斷電源����、拔除網(wǎng)線���、關(guān)閉Wi-Fi等方式關(guān)閉智能攝像頭或切斷其與互聯(lián)網(wǎng)的連接����,防止其在不必要的時(shí)間內(nèi)工作����。
4.避開(kāi)敏感位置。尤其是帶有云臺(tái)的智能攝像頭���,用戶要及時(shí)觀察監(jiān)控角度是否發(fā)生變化���,以免受到外界操控。在日常使用中����,還要及時(shí)升級(jí)相關(guān)應(yīng)用,一旦發(fā)現(xiàn)問(wèn)題���,立即停用設(shè)備���,并向廠商反饋,等待修復(fù)結(jié)果���。
(原載于《保密工作》2017年第11期)
打印
