網路監控攝像頭安全嗎

2023-02-27 15:44:17

監控變直播，你家的智慧攝像頭安全嗎？

近年來，通過安裝智慧攝像頭看家護院，已成為許多“潮流”人士的選擇。然而不久前，國家質檢總局卻釋出了一則質量安全風險警示，在受檢的40批次智慧攝像頭中，32批次被曝出質量安全隱患，可能導致使用者監控視訊洩露，甚至智慧攝像頭被惡意控制等情形，使安全監控變成了洩露隱私的直播，著實令人不安。

為什麼盯上智慧攝像頭？

智慧攝像頭，通常是指無須連線電腦，直接使用Wi-Fi聯網，搭載手機App後，可遠端實時檢視監控環境的智慧家居產品。有的產品還支援視訊分享、遠端操作監控視角、移動偵測報警等多種功能，因其具有安裝門檻低、操作簡單、功能強大等特點，受到了廣大使用者的青睞。

但不可否認，智慧攝像頭也存在穩定性差、安全性低等問題，很容易被黑客攻破，成為非法竊取使用者隱私的幫凶。以“智慧攝像頭”“破解”等為關鍵詞在網上搜尋，可以看到各種部落格、貼吧、論壇、興趣群等公開討論智慧攝像頭破解方法，甚至有不法人員網上兜售破解工具和教程，僅花費數百元即可買到被破解的IP地址、登入賬號和密碼，不覺中已形成一條灰色產業鏈。而智慧攝像頭被黑客和不法人員盯上，又與其自身使用特性不無關聯。

1.應用場所敏感。

智慧攝像頭一般用於重要場所、特殊位置的安防，隱私性很強，監控資料敏感。例如，有不法人員在網上公開販賣破解教程的宣傳噱頭竟然是“浴室”“臥室”等，以此吸引眼球。

2.與行動網路互聯。

與傳統意義上的攝像頭不同，智慧攝像頭可提供移動應用及網路監控管理，從而實現與智慧手機的互操作。此外，使用者還可以遠端實現監控畫面的放大、縮小、旋轉等功能，這種非接觸性的特點，無疑為黑客攻擊提供了便利。

3.衍生功能強大。

為了增加賣點、提升使用體驗，越來越多的廠商為智慧攝像頭開發了360度雲臺、夜視、錄音、錄影、拍照、語音通話等附加功能。但功能的複雜勢必帶來更多的安全缺口，資料傳輸未加密，App未進行安全加固，軟體程式碼存有缺陷，硬體除錯介面可被橫向控制等安全缺陷，使得智慧攝像頭愈加成為不法人員垂涎的目標。

黑客如何攻破智慧攝像頭？

黑客的攻擊過程主要分為兩步：第一步，在網路空間中找到智慧攝像頭。智慧攝像頭在網路空間中表現為一個節點，黑客利用自制的掃描軟體或公開的搜尋引擎，搜尋所有與網際網路關聯的伺服器、攝像頭、印表機、路由器等，進而根據功能特徵找到節點位置，準確定位其IP地址。

第二步，破解使用者賬號和密碼。黑客先利用智慧攝像頭IP地址進入Web登入介面，再利用邏輯推理或暴力破解等手段，獲得賬號和密碼，從而進入監控系統，實現偷窺。需要說明的是，很多使用者安全意識不強，直接使用廠商預設的賬號和密碼，黑客根本無須費力破解，即可直接登入。

而黑客之所以能破解智慧攝像頭，回溯其設計和生產過程，不難從4方面發現問題。

1.訪問控制方面。

一是使用者使用了弱口令。據統計，遭受攻擊的使用者中，賬號名稱大多為user、admin，密碼則是abc、123456等，複雜程度較低，經不起推敲，而廠商也未對使用者的密碼複雜程度進行限制。二是未限制預設賬戶的訪問許可權。出於方便使用者使用和線上升級維護等原因，一般情況下，廠商不會對預設賬戶的訪問許可權進行限制，否則可能會導致某些功能無法正常使用，黑客則恰好利用這一便利條件發起攻擊。

2.身份鑑別方面。

一是廠商未提供登入失敗處理功能，不能有效防範黑客的暴力破解和非法攻擊。二是智慧攝像頭未採取結束會話、限制非法登入和超時自動退出等措施，使使用者易遭受重放攻擊，即黑客盜取代表使用者身份的認證憑據後，再把它重新發給認證伺服器，以達到欺騙的目的。而“賬戶口令”的認證方式本身安全性就較弱，應採用電子密碼器、身份認證卡等更高階的方式，保護使用者身份不被冒用。

3.資料加密方面。

一是使用者賬號、密碼明文儲存，或使用者註冊資訊可被隨意檢視，從而使黑客輕而易舉地取得管理許可權。二是廠商後臺存有漏洞，致使海量視訊監控資料被非法下載。三是監控視訊儲存於本地或雲端，尤其是儲存於本地的資料，未經加密處理，無法保證安全性，黑客下載後可直接使用。

4.更新功能方面。

一是部分廠商為日後遠端除錯裝置，便於售後服務等原因，特意留下了“後門”，這種“後門”一般具有較高的許可權，能夠修改智慧攝像頭資訊，甚至篡改裝置本身，為黑客非法操控留下了可乘之機。二是部分廠商未提供系統和韌體的更新功能，不能及時修補漏洞，一旦黑客掃描到系統漏洞併發起攻擊，系統不能及時響應和防護，造成了被動挨打的局面。

不可不知的安全策略

當前，隨著物聯網技術的飛速發展，對傳統硬體裝置進行的智慧化改造，實現了“人員-網路-硬體”之間的無縫對接，在提高人們工作生活便捷性的同時，也帶來了紛繁複雜的網路資訊保安風險。當下，智慧攝像頭不僅作為家用產品，在政府部門、部隊機關、企事業單位等均有應用，其安全性也須從設計、生產、選購、安裝、使用等全生命週期通盤考慮。

對廠商而言，應加大安全投入，嚴格按照國家標準和行業規範設計、生產、維護智慧攝像頭，努力提高安全防禦能力，具體可從3方面做起。

1.增強系統安全防禦能力。

智慧攝像頭監控系統包括監控裝置和移動應用兩部分。除了要在訪問控制、身份鑑別、資料加密等方面提高監控裝置的安全防禦能力外，還須在App軟體設計、智慧攝像頭韌體更新等方面提高研發能力，減少安全漏洞。

2.確保雲服務安全可靠。

智慧攝像頭的雲服務由廠商運維保障，裡面儲存著大量使用者註冊資訊和海量視訊監控資料，十分敏感，必須保證其獨立性。同時還要通過加密手段，確保監控系統與雲服務平臺之間的資料互動安全。

3.建強售後服務團隊。

廠商應建立一支可靠的售後服務團隊，制定安全應急預案，一旦出現網路安全問題，確保能夠及時處置、妥善應對。同時，廠商還有必要向廣大使用者及時發出安全提醒，在日常使用中更新安全知識。

而作為普通使用者，可以從以下方面採取防範措施。

1.選購知名品牌裝置。

眾所周知，知名廠商研發能力強，在設計和生產過程中比較注重安全問題，且售後服務較為完善，在更新系統、增打補丁、封堵漏洞等方面有一定的保障。

2.及時修改並定期更換密碼。

智慧攝像頭安裝完畢後，使用者要做的第一件事就是登入Web管理介面或手機App，修改預設管理密碼，提高密碼的複雜度，並不時進行更換。

3.適時關閉智慧攝像頭。

例如，當有人在家時，可以採取切斷電源、拔除網線、關閉Wi-Fi等方式關閉智慧攝像頭或切斷其與網際網路的連線，防止其在不必要的時間內工作。

4.避開敏感位置。

尤其是帶有云臺的智慧攝像頭，使用者要及時觀察監控角度是否發生變化，以免受到外界操控。在日常使用中，還要及時升級相關應用，一旦發現問題，立即停用裝置，並向廠商反饋，等待修復結果。

原載《保密工作》2017年第11期，作者：劉小虎何宙陽

原創劉小虎何宙陽保密觀