摄像头趋势再敲物联网安全警钟

家用智能摄像头被破解,继而导致摄像头遭恶意操控,甚至造成用户隐私泄露,这些问题引发业界关注。

 

家用智能摄像头被破解的安全风险究竟来自何处?是设备自身存在安全漏洞抑或其他原因?近日,在北京召开的智能硬件产业安全峰会上,针对于国家质检总局发布的警示,360产品总监赵谦做了详细解释。

 

“质检总局一共进行40批次摄像头抽检,其中80%摄像头存在安全漏洞,其实这个数据挺可怕的,摄像头产品对隐私性和安全性的要求非常高。”赵谦说,摄像头的信息风险来自6个方面,分别是数据传输、弱口令密码安全、操作系统固件更新、敏感信息本地存储、身份鉴别、后端系统云平台的安全。这一次质检总局查出来最严重的问题是,28批次样品数据传输未加密,很多厂家不具备数据传输加密技术,所以根本不可能对数据进行加密。

 

“另外,在抽检中,20批次产品存在初始密码弱口令问题,或者限制用户密码复杂度。有些产品生产出来以后会设置非常简单密码,比如说00000、123456,这很容易被用户和黑客破解。”赵谦说,还有18批次样品在身份鉴别方面未提供登录失败处理功能。我们有很多厂商在生产出产品之后没有对反复登录频次进行限制,以至于有很多黑客可以反复尝试密码,使用用户信息或者其他密码尝试一直到攻破摄像头。

 

“在抽检中,还有16批次样品的密码敏感信息等数据在本地存储时未采取加密保护措施。对于本地存储,各个厂家的理解不太一样。小厂家认为本地存储是用户自己的行为,不会采取任何安全防护措施。”赵谦说,10批次样品存在操作系统更新问题,即未提供固件更新修复功能或者固件更新方式不安全。很多中小型厂家是不具备在线升级能力,还在用U盘、硬盘刷机的物理方式升级,这种方式根本没有办法处理应急安全漏洞的问题。

 

“10批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。从这一点上说,市面上七八成厂商都不具备自己的云服务能力,大多与云服务提供商合作。如果合作的云服务提供商没有处理好安全问题,一旦被黑客攻破,那么摄像头用户的信息就面临泄露的风险,这是非常危险的。”赵谦说。

 

“摄像头的主要功能是设置影像资料,若在公共场合并不会造成很大影响；但摄像头应用在家里或者其他私密空间,摄像头被非法控制,就可能非法拍摄图像和影像资料,不法分子可能利用这些资料进行勒索获取,获取钱财；也可能把视频资料上传到网络上,对个人隐私造成侵害,对个人的精神也会造成消极影响。”北京师范大学法学院教授、亚太网络法律研究中心主任刘德良说。

 

有企业竟对安全问题不知情

 

智能摄像头安全方面出现的问题,在某种程度上是当前物联网安全问题的缩影。

 

“智能摄像头的安全问题属于物联网时代存在的基本问题,终端、传感器、控制器和端点,都可能会被非法控制。不法分子通过对摄像头进行控制录制视频,并且对用户进行勒索、骗取钱财等非法活动。远程视频聊天软件也可能存在隐患。”刘德良说。

 

阿里云安全专家邬怡认为,前几年,物联网的概念离普通用户还很远,随着科技不断发展,现在很多物联网设备已经深入人们生活的方方面面,包括平时使用的手环、家用路由器、摄像机、摄像头等,还有很多低功耗的传感器设备,都在人们生活中非常常见。“到2020年,可能会有一百多亿甚至两百亿的设备连接到互联网上,但是这些设备的安全有没有人在意呢”?

 

“其实现在已经看到了一些因为安全问题造成的事件。比如,一些摄像头厂商的摄像头被黑客控制,甚至还包括一些黑客入侵到家用摄像头之中获取用户的隐私信息。这些安全事件与人们日常生活息息相关。出现这些问题的原因是什么?一个很重要的原因在于,物联网属于新型产业,很多厂商以前都是做硬件设备的,而以前的硬件设备不联网,但现在随着物联网的发展,所有设备都连接到了互联网上,这就是所谓万物互联的时代。这时候,以前没有暴露出来的安全问题就逐渐暴露出来。比如,有的厂商在产品设计之初没有考虑安全问题,甚至很多设备还内置了弱口令,或者存在一些能被黑客直接绕过访问的后门,这就造成物联网上的一些设备能够轻易被黑客控制,这都属于物联网安全问题。此外,有些厂商对物联网设备的安全问题并不知情,其自身也没有能力及时感知自己的设备是否会被黑客利用。”邬怡说。