现在,很多人家里都装有智能摄像头。只要下载一个相关联的应用程序,就可以随时用手机查看家里的情况,比如老人独自在家是不是安全,家里有没有进小偷等等。
然而,这些原本是为了图个放心的摄像头,却无法让使用者放心。国家质检总局近期对市面上40个批次的智能摄像头进行了检测,发现其中80%存在安全隐患,监控画面可能通过互联网泄露出去。也就是说,除了你,此刻或许还有成百上千双陌生的眼睛,也在看着你家。
根据国家质检总局的定义,智能摄像头,是指不需要电脑连接,直接使用Wi-Fi联网,配有移动应用,可以远程随时随地查看家里的一切,与家人语音通话,还支持视频分享、远程操作监控视角、报警等功能的一类产品。
国家质检总局产品质量监督司从市场上采集40个批次的智能摄像头样品,依据《信息安全技术信息系统安全等级保护基本要求》等国家标准,检测了操作系统更新、恶意代码防护、身份鉴别、弱口令校验、访问控制、信息泄露、数据传输使用、安全有效加密和本地存储数据保护等项目。结果显示,其中32个批次的样品存在质量安全隐患,占到检测样本的80%。
这些产品存在的安全隐患,最突出的是“数据传输没有加密”,涉及28个批次的样品,占到检测样本的70%;
另外,有四成、16个批次的样品对用户密码、敏感信息等数据,在本地存储时没有采取加密保护措施;
10个批次的样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;
8个批次的样品没有对恶意代码和特殊字符实行有效过滤;
5个批次的样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。
中国信息安全研究院副院长左晓栋介绍,信息技术产品存在安全漏洞是常见情况,但如果漏洞被恶意利用,可能产生严重后果。
IT产品存在漏洞是一个常见的问题,从系统开发的角度来讲,是很难杜绝的。关键就是有了漏洞之后厂商如何去响应。确实有攻击者更多地是利用信息系统里存在的漏洞发起攻击,还有一些(漏洞)是攻击者挖掘出来的,甚至某些漏洞已经成为地下黑市的一种交易的对象,就是漏洞交易,这些漏洞实际上就是被一些犯罪组织买过来作为攻击工具。
网络上已经出现破解智能摄像头,兜售私密画面的QQ群。中央电视台的记者联系到一位被破解的摄像头的主人:
记者:请问您家是不是有一个小书柜,柜门上贴着五星红旗图案的贴纸?
摄像头主人:对。
记者:这个书柜里面有几罐奥运会福娃标志的纪念版可乐?
摄像头主人:啊?对啊……这个信息是随便在网上就能找到是吗?
记者:对,我是在网上找到的。
摄像头主人:等于谁都能看见是吗?
记者:有心去搜索的人是能看到的。
摄像头主人:那这也太不安全了吧!那不是谁都能看见我家什么样了吗?什么情况什么的……
这些智能摄像头,原本可以设置用户名和密码,作为一道安全防线。但是检测显示,有20个批次的样品初始密码是常见的“user”“admin”等弱口令,或者注册和修改密码时没有限制用户密码复杂度;10个批次的样品操作系统的更新有问题,没有提供固件更新修复功能或者固件更新方式不安全;18个批次的样品在身份鉴别方面,没有提供登录失败处理功能。
这次检测涉及到的产品,包括智能摄像头市场关注度前五位的360、小米、中兴、三星、海康威视等品牌。国家质检总局的风险提示中没有列出存在隐患的产品名录。
智能摄像头可能被恶意控制,存在用户监控视频被泄露等危害,国家质检总局提醒用户选择正规销售渠道,不要购买“三无”产品,在使用中增强隐私信息保护意识,及时主动修改密码并更新操作系统等。
央广记者:白杰戈
编辑:周文超
来源:中国之声《新闻纵横》
