八成智能摄像头存在安全风险 质检总局支招避免入侵
6月18日,国家质量监督检验检疫总局发布的智能摄像头质量安全风险警示显示,在抽查的产品中,有80%存在质量安全隐患。
浙江在线6月19日讯(浙江在线编辑 杨静涛)智能摄像头是移动互联网时代带来的便捷产物,却也令隐私曝光变得轻易。现今,不少家庭会在家里安装智能摄像头,即使身处千里之外也能通过手机APP时刻关注家中情况。家中老人独处是否安全、保姆照顾孩子是否尽责、有没有小偷闯入、宠物在家做些什么都能通过摄像画面尽观眼底。然而,除了你,可能还有成百上千双陌生眼睛也在看着你家里的画面。
破解IP地址就能实现偷窥
只要将被破解的IP地址输入播放软件,就可以实现偷窥,不被觉察。似乎只有电影中的特工或黑客才能做到的事情,竟然可以这么简单地实现吗?
在QQ搜索栏输入“摄像头 破解”,就跳出了众多相关聊天群,央视记者随机加入了几个,发现聊天的内容绝大多数有关家庭摄像隐私,时不时会放出一些号称他人家庭摄像头拍下的画面。很快,不少人主动添加记者为好友,询问是否需要扫描软件,并声称这些扫描软件能够攻破摄像头的IP地址。
向其中一个卖家支付188元后,记者收到了两款软件和详细的使用教程。在播放软件中,输入卖家提供的ip地址、登录名和密码,竟然成功进入了一个摄像头。这是一户人家,画面显示的是客厅,一只小狗正在窝里睡觉。卖家称,这家住着一对小夫妻,安摄像头的目的,应该就是观看这条宠物狗。
卖家还向记者提供了大量IP账号。为了辨别画面中的影像是否是实时影像,记者再次登录一个账号,进入了另一个摄像头,放大,缩小,居然真的可以实现远程操作。
而在一些qq群内,ip地址会被群主作为聚拢人气的礼物,免费向群员发放。在这个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址,每份都被下载了几百次。
使用弱口令更易被入侵
智能摄像头的IP地址和登录密码是怎么泄露的?国家互联网应急中心高级工程师高胜介绍,主要是“弱口令”存在的漏洞。他说,“这其实就是一种扫描器,它使用预先设定的账号和弱口令密码,在网上进行扫描和探测,从而可以发现一些存在漏洞的摄像头和IP地址,它所使用的弱口令,一般是厂商默认的通用密码,或者是简短连续的数字和字母。”专家介绍,不光是个人购买的摄像头这样,在用于城市管理、交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题。因此,这类摄像头很容易被入侵。
监控平台弱口令漏洞频发,这是一种世界级的普遍现象。
中国人民大学法学院教授肖中华表示,运用非法的技术侵入到他人的家庭生活场景,一般性的生活场景,在民法上侵犯他人的隐私权。这也会涉嫌刑事责任的问题。
肖中华称,个人的行踪轨迹属于个人信息的核心内容。一旦非法获取、出售或者提供50条以上,就触犯了《侵犯公民个人信息罪》。而截取家庭摄像头中的性行为进行展示的,制作、传播到一定数量,就构成传播淫秽物品罪;如果传播者因此牟利,并达到一定数量,将构成传播淫秽物品牟利罪。
八成智能摄像存在质量安全隐患
6月18日,国家质量监督检验检疫总局发布的智能摄像头质量安全风险警示显示,在抽查的产品中,有80%存在质量安全隐患。
针对智能摄像头可能存在的信息安全危害,国家质检总局产品质量监督司组织开展了智能摄像头质量安全风险监测,共从市场上采集样品40批次。
结果表明,32批次样品存在质量安全隐患。其中,28批次样品数据传输未加密;20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;18批次样品在身份鉴别方面,未提供登录失败处理功能;16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;10批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;8批次样品未对恶意代码和特殊字符进行有效过滤;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。
上述问题可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。
质检总局支招消费者
质检总局提示广大消费者,在选购和使用智能摄像头产品时,要注意以下几点:
一是选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息。
二是增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。
三是使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。
四是及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。
(综合央视新闻、央广网、北京晨报等消息)