Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

想想就后怕,家中洗澡遭黑客直播,摄像头竟成“帮凶”

0
0
想想就后怕,家中洗澡遭黑客直播,摄像头竟成“帮凶”

一点号北京娱乐信报昨天

本周,一则《女子洗澡遭黑客直播》的消息引发许多消费者关注。家用摄像头是家庭智能安防的一部分,可通过手机实时监控家里的情况,以保证家庭成员和财产的安全。安装网络摄像头究竟安全吗?业内人士指出,智能家居市场快速发展,许多企业都想分一杯羹,但行业整体安全技术水平尚不能匹配。

家中洗澡遭黑客直播

据报道,《女子洗澡遭黑客直播》事件的主角吴女士从团购网站购买了一款家用摄像机,用来监控家里的宠物猫。吴女士把摄像机的镜头朝床铺和浴室的方向安装。一天晚上,吴女士在洗澡前,突然听到摄像机里传出怪声,“我登入系统看到有两个人正在观看。”她发现手机显示监控画面停留在自己的身上,当她闪躲镜头时,机器竟然也跟着转,吴女士赶紧拔掉了插头。据了解,吴女士与一同团购的14名买家联系后得知,有3人都遭遇了类似的情形。

热卖家用摄像头有风险

信报记者获悉,网店是家用摄像头主要销售平台,京东商城搜索“家用摄像头”,显示有7501件商品,价格从几十元到数百元不等;在天猫商城,一百多元的家用摄像头销量最高,排名最高的一款价值117.7元的无线摄像头,显示其月成交量为3.7万笔。买家在评价此款摄像头时说:距离十几米都可监听到;有人接近现场,手机不开时有报警声;对讲功能很实用;大角度转动监看;720p摄像头不含存储卡仅百元。然而热销产品是否就能确保安全?

360无线电安全研究部负责人杨卿建议,当消费者对所购摄像头产品安全防护能力无法确定时,应做好防范工作:选择没有云端管理与存储功能、只具有本地网络管理功能可用本地存储卡储存视频的摄像头。

摄像头漏洞大量存在

最近几年,由于家用摄像头大量存在安全漏洞,网络安全问题频发,从家庭到企业都未能幸免。据2016年发布的《国内智能家庭摄像头安全状况评估报告》称,近8成家用摄像头存在用户信息泄露、数据传输未加密等问题,黑客可以远程获取用户实时监控画面。北京网安总队主办猎网联盟的专家曾公开演示了远程监控家用摄像头:在任一手机上随便注册了一个账号,专家用电脑进行了几个简单的操作后,手机竟然绑定了摄像头,手机页面中竟然出现了些办公室、家庭住宅等地的场景。专家介绍,理论上来说,手机要想远程观看摄像头内容,必须注册。但不安全的摄像头与手机进行连接,并没有对手机身份进行验证,这是严重漏洞,黑客可以通过漏洞,用一个虚拟的绑定就可以查看数百个摄像头的实时画面。

网络摄像头安全无标准

杨卿介绍,对于网络摄像头的安全,目前全球尚未有较完善的物联网产品安全质检,评测体系,导致一些安全防护能力不足的摄像头产品大量涌入消费市场,用户在购买时也无法获知其产品的安全防护能力。今年初,两件有关知名品牌网络摄像头事件已经证明其安全性隐患重重,且无标准可依,从而引发消费者对于网络摄像头产品安全的担忧。

一件是美联邦贸易委员会(FTC)控告台湾友讯集团(D-Link),称其生产的路由器和网络摄像头存在安全漏洞,用户面临被黑客攻击的风险,而这些漏洞本是可以预先修复的。对此,Frankfurt Kurnit Klein&Selz法律事务所则认为:“目前美国没有相关法律规定这些网络设备所要具备的最低安全标准是怎样的。”

另一件是exploitee.rs极客小组(因破解谷歌电视而成名)公布了三星智能摄像头当中存在的一个漏洞,这个漏洞源于上次修复漏洞遗留下来的问题:一个Web服务器(指网站服务器)和相关接口,获得对设备的root(拥有Root权限,想干什么就干什么)访问权限,从而控制整个摄像头。而目前三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。

低成本摄像头难保安全

杨卿指出,家用摄像头产品众多,一些“小品牌”产品首先考虑的是成本要低,在设计、方案选型、服务器云端资源的选用部署等方面,都偏向低成本策略。但安全与成本往往是相悖的,安全性提升意味着生产、研发、测试成本的增加。很多低成本策略制作的摄像头、路由器等家居智能产品在安全上会存在很大风险。

实际上,全球各国目前在物联网智能家居类产品的评测、准入、追责等相关标准体系制定上还有很多工作在做。在Mirai(恶意程序)事件发生之前,智能产品即便是存在安全问题,往往危及的只是用户的安全,对生产企业及网络环境并未造成很大影响,也因此多数企业对产品安全问题并不重视。但Mirai的出现,让没有足够安全防护能力或本身存在大量安全漏洞的智能产品变成了“肉鸡”(受黑客远程控制的电脑),进而成为了网络攻击中的“帮凶”。

尽量购买“大品牌”产品

杨卿建议消费者,购买家用智能摄像头、智能电视、路由器等智能家居产品时,千万别贪便宜廉价“小品牌”的产品,尽量选购知名品牌的产品。如果发现安全问题,知名品牌能在第一时间提供漏洞公告、安全补丁及固件升级等服务,最大限度保障产品使用安全。

因为“大品牌”公司生产的摄像头会投入更多费用在安全设计及安全测试等方面,产品被攻击的概率相对较低;当有漏洞发生时,应急响应机制和安全更新也更为及时。

如无标准企业难追责

北京市君祥律师事务所律师拜北斗表示,通过智能家用摄像头窃取他人隐私,属于侵犯他人隐私权的行为,应当承担相应的侵权责任。如果该侵权行为给消费者带来了严重的精神损害,还可以要求精神损害赔偿。

就智能家用摄像头领域而言,目前国内外均无安全准入标准和追责制度。在国家标准缺失的情况下,若存在行业标准,则应该根据行业标准来规定产品的质量,并以此来作为产品是否合格的标准。若也不存在具体的行业标准,并且生产厂家也不存在明显的生产过失,则不能追究厂家的相关责任。


Viewing all articles
Browse latest Browse all 12749