原標題:質檢總局:智能攝像頭八成存隱患 或致監控視頻泄露
6月18日,有媒體報道稱,大量家庭攝像頭遭入侵,有人借此非法牟利。同日,國家質檢總局官網發布關于智能攝像頭的質量安全的風險警示稱,已檢測的40批次中,32批次樣品存在質量安全隱患,可能導致用戶監控視頻被泄露,或智能攝像頭被惡意控制等危害。
智能攝像頭,是指不需要電腦連接,直接使用Wi-Fi聯網,配有移動應用,可以遠程隨時隨地查看家里的一切,與家人語音通話,還支持視頻分享、遠程操作監控視角、報警等功能的一類產品的總稱。由于智能攝像頭可能存在終端安全、后端信息系統安全、數據傳輸安全、移動應用安全等質量安全隱患,若消費者使用不當或超預期使用,容易導致個人隱私信息泄露、財產損失等危害。
針對智能攝像頭可能存在的信息安全危害,質檢總局產品質量監督司組織開展了智能攝像頭質量安全風險監測。共從市場上采集樣品40批次,主要依據GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》等標準要求,對操作系統的更新、惡意代碼防護、身份鑒別、弱口令校驗、訪問控制、信息泄露、數據傳輸使用安全有效加密、本地存儲數據保護等項目進行了檢測。結果表明,32批次樣品存在質量安全隱患。其中,28批次樣品數據傳輸未加密;20批次樣品初始密碼為弱口令,或者用戶注冊和修改密碼時未限制用戶密碼復雜度;18批次樣品在身份鑒別方面,未提供登錄失敗處理功能;16批次樣品對用戶密碼、敏感信息等數據,在本地存儲時未采取加密保護措施;10批次樣品操作系統的更新有問題,未提供固件更新修復功能或者固件更新方式不安全;10批次樣品后端信息系統存在越權漏洞,同一平臺內可以查看任意用戶攝像頭的視頻;8批次樣品未對惡意代碼和特殊字符進行有效過濾;5批次樣品后端信息系統存儲的監控視頻可被任意下載,或者用戶注冊信息可被任意查看。上述問題可能導致用戶監控視頻被泄露,或智能攝像頭被惡意控制等危害。
質檢總局提示廣大消費者,在選購和使用智能攝像頭產品時,要注意以下幾點:
一是選擇正規渠道購買智能攝像頭產品,切勿購買“三無”產品,注意留意權威部門發布的相關產品質量信息。
二是增強隱私信息保護意識,在購買、使用智能攝像頭產品和接受相關服務時,仔細查看相關說明和廠商聲明,充分了解選購產品和服務的各項功能,注意和防范用戶信息可能泄漏的風險,審慎考慮廠商收集、保存和使用用戶信息的要求,根據自我實際情況和意愿作出購買和選擇決定。
三是使用時,應及時主動修改智能攝像頭默認密碼,密碼設置應有一定的復雜度并定期修改。
四是及時更新智能攝像頭操作系統版本和相關的移動應用,發現異常應立即停止使用,并向生產廠商反饋,等待廠商修復。
新聞多一點
大量家庭攝像頭遭入侵 有人收幾十個徒弟賣IP地址
据央視新聞消息,現如今,很多人家里都裝有智能攝像頭。下載一個相關聯的應用程序,可以隨時用手機看看家里的情況。比如老人獨自在家是否安全,保姆帶娃是否盡責,有沒有進小偷之類的。
我們要給智能攝像頭的主人們提個醒:除了你,可能此刻還有成百上千雙陌生的眼睛,也在看著你家。
在網上搜索欄輸入“攝像頭破解”,就跳出了眾多相關聊天群,記者隨機加入了幾個,發現聊天的內容絕大多數有關家庭攝像隱私,時不時會放出一些號稱他人家庭攝像頭拍下的畫面。很快,不少人主動添加記者為好友,詢問是否需要掃描軟件,并聲稱這些掃描軟件能夠攻破攝像頭的IP地址。
只要將被破解的IP地址輸入播放軟件,就可以實現偷窺,不被覺察。似乎只有電影中的特工或黑客才能做到的事情,竟然可以這么簡單地實現嗎?記者決定嘗試一下。向其中一個賣家支付188元后,記者收到了兩款軟件和詳細的使用教程。
記者在播放軟件中,輸入賣家提供的ip地址、登錄名和密碼,竟然成功進入了一個攝像頭。這是一戶人家,畫面顯示的是客廳,一只小狗正在窩里睡覺。賣家稱,這家住著一對小夫妻,安攝像頭的目的,應該就是觀看這條寵物狗。
賣家還向記者提供了大量IP賬號。為了辨別畫面中的影像是否是實時影像,記者再次登錄一個賬號,進入了另一個攝像頭,放大,縮小,居然真的可以實現遠程操作。
而在一些qq群內,ip地址會被群主作為聚攏人氣的禮物,免費向群員發放。在這個近2000人的QQ群中,每天都會新增一份最新破解文件,包含200到400個IP地址,每份都被下載了幾百次。
賣家大膽吻下去:群發的你有沒有看到臥室的號?比較好的?沒有吧。群發的,一大群人去轉攝像頭,就被改了密碼,那些沒有什么生命力的。但是,那種愛好者,他肯定想要安穩地看,沒有人去改密碼,去轉動攝像頭。
這位叫“大膽吻下去”的賣家告訴記者,今天靠賣號已經賺了500多元。他有幾十個徒弟,如果拜他為師,一個月收入上萬并不難。
記者找到了一個可被攻破的IP地址,并聯系上這家攝像頭的主人。
記者:請問您家是否有個小書柜,上面有個五星紅旗圖案的貼紙?
戶主:對。
記者:里面有幾個奧運福娃的可樂罐?
戶主:對。這信息隨便在網上能找到的對嗎?
記者:對,我是在網上找到的。
戶主:等于誰都能看到的是嗎?
記者:如果有心搜索,可以看到。
戶主:天啊,那不是誰都能看到我家,看到我家什么樣子的嗎?這也太不安全了吧!!
“弱口令”帶來強風險
目前,記者已將獲知的材料向警方進行了舉報。
智能攝像頭的IP地址是怎么落到別人手中?而登錄的密碼怎么也會一同泄露呢?記者來到國家互聯網應急中心尋求答案。
賣家提供的掃描軟件,啟動后,會源源不斷地跳出IP地址,這種掃描是通過什么原理來進行的呢?
國家互聯網應急中心高級工程師高勝:主要是依靠掃描器,用一些弱口令密碼,做大范圍的掃描。弱口令就是一些user或者admin。
專家介紹,不光是個人購買的攝像頭是這樣,在用于城市管理、交通監測的公共攝像頭中,也大量存在使用弱口令便可以打開的問題。因此,這類攝像頭很容易被入侵。
日前,國家互聯網應急中心在市場占有率排名前五的智能攝像頭品牌中隨機挑選了兩家,進行了弱口令漏洞分布的全國性監測。結果令人驚訝,僅僅兩個品牌的攝像頭,就有十幾萬個存在著弱口令漏洞。
監控平臺弱口令漏洞頻發,這是一種世界級的普遍現象。
國家互聯網應急中心高級工程師徐原:左上角是酒吧,右上角是酒店前臺,這邊還有一個超市的情況。有來自俄羅斯等國家的,這種情況在全世界都是普遍存在的。
通過智能家用攝像頭竊取他人隱私會觸碰哪些法律紅線?應該承擔什么法律責任?
中國人民大學法學院教授肖中華:運用非法的技術侵入到他人的家庭生活場景,一般性的生活場景,在民法上侵犯他人的隱私權。這也會涉嫌刑事責任的問題。
肖中華稱,個人的行蹤軌跡屬于個人信息的核心內容。一旦非法獲取、出售或者提供50條以上,就觸犯了《侵犯公民個人信息罪》。而截取家庭攝像頭中的性行為進行展示的,制作、傳播到一定數量,就構成傳播淫穢物品罪;如果傳播者因此牟利,并達到一定數量,將構成傳播淫穢物品牟利罪。
對于如何安全使用智能攝像頭,專家進行了幾點重要提示:
第一,不要使用原始預設的、或過于簡單的用戶名與密碼,而且要定期作出更換;
第二,攝像頭不要正對臥室、浴室等隱私區域,并要經常檢查攝像頭的角度是否發生變化;
第三,養成定期查殺病毒的好習慣。