近年来,通过安装智能摄像头看家护院,已成为许多“潮流”人士的选择。然而不久前,国家质检总局却发布了一则质量安全风险警示,在受检的40批次智能摄像头中,32批次被曝出质量安全隐患,可能导致用户监控视频泄露,甚至智能摄像头被恶意控制等情形,使安全监控变成了泄露隐私的直播,着实令人不安。
为什么盯上智能摄像头
智能摄像头,通常是指无须连接电脑,直接使用Wi-Fi联网,搭载手机App后,可远程实时查看监控环境的智能家居产品。有的产品还支持视频分享、远程操作监控视角、移动侦测报警等多种功能,因其具有安装门槛低、操作简单、功能强大等特点,受到了广大用户的青睐。
但不可否认,智能摄像头也存在稳定性差、安全性低等问题,很容易被黑客攻破,成为非法窃取用户隐私的帮凶。以“智能摄像头”“破解”等为关键词在网上搜索,可以看到各种博客、贴吧、论坛、兴趣群等公开讨论智能摄像头破解方法,甚至有不法人员网上兜售破解工具和教程,仅花费数百元即可买到被破解的IP地址、登录账号和密码,不觉中已形成一条灰色产业链。而智能摄像头被黑客和不法人员盯上,又与其自身使用特性不无关联。
1.应用场所敏感。智能摄像头一般用于重要场所、特殊位置的安防,隐私性很强,监控数据敏感。例如,有不法人员在网上公开贩卖破解教程的宣传噱头竟然是“浴室”“卧室”等,以此吸引眼球。
2.与移动网络互联。与传统意义上的摄像头不同,智能摄像头可提供移动应用及网络监控管理,从而实现与智能手机的互操作。此外,用户还可以远程实现监控画面的放大、缩小、旋转等功能,这种非接触性的特点,无疑为黑客攻击提供了便利。
3.衍生功能强大。为了增加卖点、提升使用体验,越来越多的厂商为智能摄像头开发了360度云台、夜视、录音、录像、拍照、语音通话等附加功能。但功能的复杂势必带来更多的安全缺口,数据传输未加密,App未进行安全加固,软件代码存有缺陷,硬件调试接口可被横向控制等安全缺陷,使得智能摄像头愈加成为不法人员垂涎的目标。
黑客如何攻破智能摄像头
黑客的攻击过程主要分为两步:第一步,在网络空间中找到智能摄像头。智能摄像头在网络空间中表现为一个节点,黑客利用自制的扫描软件或公开的搜索引擎,搜索所有与互联网关联的服务器、摄像头、打印机、路由器等,进而根据功能特征找到节点位置,准确定位其IP地址。
第二步,破解用户账号和密码。黑客先利用智能摄像头IP地址进入Web登录界面,再利用逻辑推理或暴力破解等手段,获得账号和密码,从而进入监控系统,实现偷窥。需要说明的是,很多用户安全意识不强,直接使用厂商默认的账号和密码,黑客根本无须费力破解,即可直接登录。
而黑客之所以能破解智能摄像头,回溯其设计和生产过程,不难从4方面发现问题。
1.访问控制方面。一是用户使用了弱口令。据统计,遭受攻击的用户中,账号名称大多为user、admin,密码则是abc、123456等,复杂程度较低,经不起推敲,而厂商也未对用户的密码复杂程度进行限制。二是未限制默认账户的访问权限。出于方便用户使用和在线升级维护等原因,一般情况下,厂商不会对默认账户的访问权限进行限制,否则可能会导致某些功能无法正常使用,黑客则恰好利用这一便利条件发起攻击。
2.身份鉴别方面。一是厂商未提供登录失败处理功能,不能有效防范黑客的暴力破解和非法攻击。二是智能摄像头未采取结束会话、限制非法登录和超时自动退出等措施,使用户易遭受重放攻击,即黑客盗取代表用户身份的认证凭据后,再把它重新发给认证服务器,以达到欺骗的目的。而“账户+口令”的认证方式本身安全性就较弱,应采用电子密码器、身份认证卡等更高级的方式,保护用户身份不被冒用。
3.数据加密方面。一是用户账号、密码明文存储,或用户注册信息可被随意查看,从而使黑客轻而易举地取得管理权限。二是厂商后台存有漏洞,致使海量视频监控数据被非法下载。三是监控视频存储于本地或云端,尤其是存储于本地的数据,未经加密处理,无法保证安全性,黑客下载后可直接使用。
4.更新功能方面。一是部分厂商为日后远程调试设备,便于售后服务等原因,特意留下了“后门”,这种“后门”一般具有较高的权限,能够修改智能摄像头信息,甚至篡改设备本身,为黑客非法操控留下了可乘之机。二是部分厂商未提供系统和固件的更新功能,不能及时修补漏洞,一旦黑客扫描到系统漏洞并发起攻击,系统不能及时响应和防护,造成了被动挨打的局面。
不可不知的安全策略
当前,随着物联网技术的飞速发展,对传统硬件设备进行的智能化改造,实现了“人员-网络-硬件”之间的无缝对接,在提高人们工作生活便捷性的同时,也带来了纷繁复杂的网络信息安全风险。当下,智能摄像头不仅作为家用产品,在政府部门、部队机关、企事业单位等均有应用,其安全性也须从设计、生产、选购、安装、使用等全生命周期通盘考虑。
对厂商而言,应加大安全投入,严格按照国家标准和行业规范设计、生产、维护智能摄像头,努力提高安全防御能力,具体可从3方面做起。
1.增强系统安全防御能力。智能摄像头监控系统包括监控设备和移动应用两部分。除了要在访问控制、身份鉴别、数据加密等方面提高监控设备的安全防御能力外,还须在App软件设计、智能摄像头固件更新等方面提高研发能力,减少安全漏洞。
2.确保云服务安全可靠。智能摄像头的云服务由厂商运维保障,里面存储着大量用户注册信息和海量视频监控数据,十分敏感,必须保证其独立性。同时还要通过加密手段,确保监控系统与云服务平台之间的数据交互安全。
3.建强售后服务团队。厂商应建立一支可靠的售后服务团队,制定安全应急预案,一旦出现网络安全问题,确保能够及时处置、妥善应对。同时,厂商还有必要向广大用户及时发出安全提醒,在日常使用中更新安全知识。
而作为普通用户,可以从以下方面采取防范措施。
1.选购知名品牌设备。众所周知,知名厂商研发能力强,在设计和生产过程中比较注重安全问题,且售后服务较为完善,在更新系统、增打补丁、封堵漏洞等方面有一定的保障。
2.及时修改并定期更换密码。智能摄像头安装完毕后,用户要做的第一件事就是登录Web管理界面或手机App,修改默认管理密码,提高密码的复杂度,并不时进行更换。
3.适时关闭智能摄像头。例如,当有人在家时,可以采取切断电源、拔除网线、关闭Wi-Fi等方式关闭智能摄像头或切断其与互联网的连接,防止其在不必要的时间内工作。
4.避开敏感位置。尤其是带有云台的智能摄像头,用户要及时观察监控角度是否发生变化,以免受到外界操控。在日常使用中,还要及时升级相关应用,一旦发现问题,立即停用设备,并向厂商反馈,等待修复结果。
(原载于《保密工作》2017年第11期)