中國首例網(wǎng)上傳播家庭攝像頭破解軟件案：有人在 QQ 群中兜售遠程控制家庭攝像頭的破解軟件，有大量人員非法購買后利用攝像頭進行偷窺，嚴重侵犯了公民個人隱私。

大量家庭攝像頭存在的安全問題，只需要通過特定的掃描軟件，就能夠攻破攝像頭的IP 地址，然后將被破解的 IP 地址輸入播放軟件，就可以實現(xiàn)偷窺。國家互聯(lián)網(wǎng)應(yīng)急中心高級工程師高勝稱，這些軟件主要是依靠掃描器，用一些弱口令密碼，做大范圍的掃描。隨后，國家互聯(lián)網(wǎng)應(yīng)急中心在市場占有率排名前五的智能攝像頭品牌中隨機挑選了兩家，進行了弱口令漏洞分布的全國性監(jiān)測，僅兩個品牌的攝像頭，就有十幾萬個存在著弱口令漏洞。

為何這些家庭攝像頭破解這么容易？

造成攝像頭的信息安全風(fēng)險的原因有很多，但是多存在于數(shù)據(jù)傳輸、弱密碼口令、操作系統(tǒng)/固件更新、敏感信息的本地存儲、身份鑒別、云平臺等環(huán)節(jié)。

1. 數(shù)據(jù)傳輸

根據(jù)質(zhì)檢總局的調(diào)查，發(fā)現(xiàn)28 批次樣品數(shù)據(jù)傳輸未加密。如果在數(shù)據(jù)傳輸?shù)倪^程中進行加密，即使黑客攔截相應(yīng)的信息也只能看到代碼，看不到實際攝像頭拍下來的影像。當(dāng)然，除了對傳輸過程進行加密，對錄像的本地存儲數(shù)據(jù)進行加密也很重要。

2. 弱口令 / 密碼

除此之外，家庭攝像頭破解還因為存在弱口令，或者限制用戶密碼復(fù)雜度的問題。有些產(chǎn)品生產(chǎn)出來以后，會設(shè)置非常簡單密碼，很容易被黑客破解。如果攝像頭出廠前設(shè)定大小寫、以及數(shù)字和字幕結(jié)合的密碼設(shè)定，會安全很多。

3. 操作系統(tǒng) / 固件更新

還有部分攝像頭在操作系統(tǒng)更新有問題：未提供固件更新修復(fù)功能或者固件更新方式不安全。因此，廠商需要完整 OTA 在線升級方案，及時修補安全漏洞。

4. 敏感信息的本地存儲

攝像頭樣品的密碼等敏感數(shù)據(jù)在本地存儲時未采取加密保護措施。小廠家將本地存儲認定為用戶自己的行為——你已經(jīng)存儲到本地，用戶自己保存就好，不會采取任何安全防護措施。最好的做法還是本地以及云端都采用加密存儲的方式。

5. 身份鑒別

另外，攝像頭在身份鑒別方面未提供登錄失敗處理功能。有很多廠商在產(chǎn)品生產(chǎn)后沒有對反復(fù)登錄頻次進行限制，以至很多黑客可以反復(fù)嘗試密碼，用用戶信息或者其他密碼嘗試一直到攻破攝像機。

6. 云平臺

就連攝像頭后端信息系統(tǒng)也存在越權(quán)漏洞，同一平臺內(nèi)可以查看任意用戶攝像。由于很多廠商會跟一些性價比較高的第三方云服務(wù)提供商合作。一旦云服務(wù)商沒有處理好安全問題，被黑客攻破后，所有跟他合作的攝像頭廠商受到影響，造成用戶信息泄露。

從家庭攝像頭破解軟件案引發(fā)思考——我們的安全的做應(yīng)該法是：對每一個用戶、每一臺設(shè)備都設(shè)立獨立密鑰。

ice

收藏 海報分享