2024年11月05日 星期二

科技 > 網際網路 > 正文

字號:  

八成家用智慧攝頭存泄密風險 破解代碼即可偷窺

  • 發佈時間:2016-05-11 07:21:12  來源:京華時報  作者:韓天博  責任編輯:書海

  

通過手機能看到別人家的攝像內容。京華時報記者陶冉攝

  

通過手機能看到別人家的攝像內容。京華時報記者陶冉攝

  

電腦輸入代碼後通過手機觀看

  

電腦輸入代碼後通過手機觀看

  近日,有多名網友反映,自己在家中安裝了家用智慧攝像頭後,出現個人資訊、室內場景畫面被洩露等現象,疑與攝像頭及其附屬軟體有關。昨天下午,一位專業工程師向記者現場演示了獲取家用智慧攝像頭用戶資訊及實時畫面的全過程,並證實個別品牌攝像頭確實存在泄密可能。據了解,根據相關測試結果,目前市場上近八成家用智慧攝像頭産品存在安全缺陷。

  □案例

  客廳照片外泄被挂網上

  張女士家住海淀,她和老公白天都要上班,家中兩歲半兒子無人照料,所以聘請了一名全職保姆照看。為能夠實時掌握兒子在家的資訊,夫妻倆於今年3月末通過網站購買了一組某知名品牌的遠端監控攝像頭,並安裝在客廳、臥室、廚房等多個位置。

  然而,就在今年4月中旬,張女士在瀏覽某小型家居網站時,無意間發現自家客廳的截圖被挂在網頁上。張女士稱,在此之前,她和家人從來沒邀請或允許任何網站的人到家中拍照片,“照片的角度就是從挂攝像頭的位置拍攝的,而且畫質、顏色都和手機APP上的實時畫面一模一樣。”

  此後,張女士設法與該網站取得了聯繫,對方很快將網上照片刪除。“對方説,圖片不是他們拍攝的,而是從網上下載的,我繼續追問圖片來源,對方拒絕回答。”

  張女士稱,圖片中沒有出現兒子和保姆的影像,“應該説並沒有出現特別嚴重的隱私洩露情況,可是這個隱患實在太可怕了,如果是臥室的畫面洩露,那後果不堪設想。”

  “我們懷疑和家裏裝的攝像頭有關。”無奈之下,張女士只能將所有攝像頭和相應的手機APP全部卸載。

  □實驗

  破解代碼竊取實時畫面

  針對頻頻出現的家用智慧攝像頭泄密現象,某實驗室在對國內市場上銷售的近百個品牌的家用攝像頭進行了安全評估測試後發現,市面上不少品牌的攝像頭,存在用戶資訊洩露、數據傳輸未加密等安全缺陷,甚至可以在用戶毫不知情的情況下,直接實時觀看用戶攝像頭拍攝的內容並錄影。

  昨天下午,實驗室安全研究員王先生,為記者演示了通過軟體漏洞獲取已綁定手機用戶攝像頭實時畫面的全過程。記者發現,王先生所使用的工具僅為一台已經聯網的電腦,一部手機以及一段自行編寫的代碼。

  演示過程開始前,王先生首先在手機上下載了某品牌家用攝像頭的APP軟體,隨後註冊賬號,但並沒綁定任何攝像頭,此時其頁面中攝像頭列表顯示為空。

  隨後,王先生在電腦軟體上輸入剛剛註冊的賬號、密碼,並在電腦上運作其編寫的代碼。隨著代碼的運作,手機APP頁面上立即出現多個攝像頭監控畫面的預覽圖,且隨著時間的推移數量逐漸增多,隨機點開其中一個,經過短暫載入,攝像頭遠端傳輸的畫面開始播放,且清晰度相當高,甚至可以辨別用戶家電視中播放的電視畫面。除此,在代碼腳本運作過程中,大量用戶註冊時使用的手機號碼也一同顯示在螢幕上。

  王先生表示,通過視頻中的不同場景可以明顯看出,這些畫面並不僅限于某一個用戶安裝的攝像頭的拍攝畫面。“如果需要的話,(別有用心的人)可以將所有註冊此APP的用戶資訊全部弄出來,然後根據單個用戶的手機號碼定位到某個特定用戶身上”,從而實施針對性極強的個別用戶資訊竊取活動。而只要輕輕點擊手機APP軟體上的錄製按鈕,盜取的畫面就會輕鬆地保存下來。

  而對於這段作為工具的代碼,王先生稱,只要有一定編程知識和經驗的人都可以完成,並不存在特別高的技術門檻,“就現在而言,能夠編寫這種代碼的人還是很多的。”

  □結論

  八成家用攝頭存在安全漏洞

  在一份題為《攝像頭橫向測試表》的文件中記者發現,技術人員對目前市面上多個品牌的攝像頭,進行了“手機控制終端”、“雲端應用安全”、“設備終端安全”三個大項30多個小項的測試,結果所涉獵品牌均或多或少存在安全問題。

  安全研究員王先生告訴記者,從測試結果來看,目前,有關視頻畫面洩露的問題主要集中在攝像頭軟體雲端邏輯漏洞和手機APP軟體漏洞兩個方面,“其他可能導致資訊洩露的問題也存在,但是相比之下數量較少。”

  王先生所在的實驗室在對國內市場上銷售的近百個品牌的家用智慧攝像頭進行安全評估測試後發現,近八成産品存在用戶資訊洩露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬體存在調試介面、可橫向控制等安全缺陷。

  據安全工程師劉健皓介紹,這些安全缺陷的存在讓接入網路的攝像頭可以輕易被不法分子控制,隨時獲取攝像頭的圖像和語音資訊,對安裝攝像頭的家庭或公司進行監控甚至網上直播。

  劉健皓解釋,從理論上講,通過手機遠端查看到攝像頭內容,必須通過註冊,甚至要求“一對一”。但是,個別品牌的攝像頭與手機進行連接時,並沒有對手機身份進行驗證,這是一個非常嚴重的漏洞。駭客可以通過漏洞,用一個虛擬的綁定就可以查看數百個攝像頭實時畫面,而出現此漏洞的攝像頭至少有數十款,其中包括了一些著名品牌。

  □建議

  有關部門須建立攝像頭安全標準

  針對如何能夠保障用戶使用家用智慧攝像頭拍攝的個人隱私不被洩露的問題,軟體安全工程師提醒廣大用戶,首先在購買攝像頭時,應對所選品牌進行一些調查,可以通過網際網路查詢與目標品牌相關的帖子或報道,“目的就是找到一個口碑不錯,價格也合適的品牌”。

  第二,在使用時,要注意設置一定強度的密碼,及時關注攝像頭軟體的提醒。如果綁定的手機上發現了請求驗證碼的短信,就應該立刻修改密碼。

  第三,經常登錄攝像頭進行查看,如發現實際拍攝角度與安裝時發生變化等情況,就需要考慮自己的賬號安全了。同時,要關注所用品牌攝像頭安全方面的消息,如果發現設備漏洞應停止使用,等待廠家更新,並保證所使用的攝像頭軟體是最新版本。

  與此同時,安全工程師還針對家用智慧攝像頭行業提出了建議。首先,有關部門亟須建立一套針對智慧攝像頭的資訊安全標準。其次,建議智慧硬體開發商建立自己的運營平臺,以保護消費者的數據安全,及時發現並阻斷駭客的攻擊。最後,需要制定一套有效的應急響應預案,確保在安全漏洞出現後,能夠快速響應,並最大程度降低用戶的損失。

  □説法

  技術偷窺侵犯個人隱私算犯法

  針對頻頻出現的家用智慧攝像頭洩露個人隱私事件,北京雄志律師事務所律師姜健表示,個人住宅屬於自然人較為私密的生活空間,有權利根據個人意願公開或不公開,即所謂的隱私權。如果有人利用資訊技術手段遠端控制他人安裝在室內攝像頭,非經權利人同意而獲取他人住宅內生活資訊,雖然手段新穎,但本質上仍屬於偷窺行為,侵犯了他人的隱私權。

  根據我國治安管理處罰法的相關規定,偷窺、偷拍、竊聽、散佈他人隱私的,處5日以下拘留或者500元以下罰款;情節較重的,處5日以上10日以下拘留,可以並處500元以下罰款。如通過偷窺形式獲得的他人私密照片,並上傳到網路平臺,或者出售獲利的,將涉嫌構成刑事犯罪。另外,被侵權人有權向侵權人主張民事賠償責任。

  京華時報記者韓天博

  • 股票名稱 最新價 漲跌幅