2016年的315晚会中曾提到这样一句话:“从技术上来讲,这个世界没有绝对的安全。”这让我不禁想到前一阵热门电影《速度与激情8》里的黑客系统“天眼”——能调用地球上任何位置的摄像头和音频系统,甚至还控制了俄罗斯的核潜艇,并成功实时控制并让核潜艇入海……当然,这还只是电影桥段,但不排除在现实生活中能够真实还原。
互联网科技的迅猛发展,带动了许多意想不到的成果面世,另一方面如何应用技术更好的保护安全才至关重要。作为“天眼”系统的重要分支,智能摄像头并不让人陌生,无需电脑连接,直接使用Wi-Fi联网,配有移动应用,拥有与家人语音通话、视频分享、远程操作监控视角、报警等功能。在中国市场上,智能摄像头的年销量已经超过了400万台,可以说,智能摄像头大街小巷随处可见。
一般而言,有意购买家居智能摄像头的人,基本上都源于为家居安全所考虑。但近几年来,这些本是用来保护家居安全的摄像头身份却“变了味”,有时反倒成了泄露家庭隐私的罪魁祸首,而一旦家庭隐私遭受泄露,无异于光天化日之下的“裸奔”,细思极恐。
正在“裸奔”的不止你一个
6月18日,质检总局针对智能摄像头产品的质量安全监测显示,在从市场上所选取的38个品牌40批次智能摄像头产品当中,有32批次样品存在质量安全隐患,这意味着有八成的智能摄像头对大众的日常生活存有安全威胁,这样看来,正在“裸奔”的不止你一个。
在这些安全隐患当中,表现不一:
其一,“弱口令校验”风险。有20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度。
其二,信息系统安全与数据传输安全风险。18批次样品在身份鉴别方面,未提供登录失败处理功能;16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;有28批次样品数据传输未加密。
其三,终端安全风险。10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;10批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;8批次样品未对恶意代码和特殊字符进行有效过滤;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。
显然,上述这些问题很有可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害,一旦全球各地的摄像头连成共网,电影桥段中的“天眼系统”就有望照进现实。
实际上,早在去年5月,360安全实验室也曾对国内市场上销售的近百个品牌的家用智能摄像头进行了一轮安全评估测试,结果显示近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷、弱口令等安全设计缺陷,这么一对比,毫不起眼的智能摄像头所带来的安全隐患问题着实不小。
集体“裸奔”背后
尽管市面上有八成的智能摄像头产品都拥有安全隐患问题,但仍不能够否定其为我们的生活所带来的日常便利。究竟如何规避“裸奔”风险的出现,还需追根溯源,找寻破解之法。为何会出现智能摄像头存有大量被控制、被监视、用户隐私被泄露的安全问题?
首先,从用户的角度而言,用户安全密码太简单。由于家庭摄像头暴露外网管理页面,设备存在弱口令或其他漏洞,很容易被黑客大批量扫描利用,进而被控制、被监测,正如微信号、QQ号、银行卡密码被盗即为同理。
其次,从厂商的角度来看,厂商技术生产存有漏洞。据网络安全专家的测试,有部分摄像头的管理后台,即云平台非常容易被破解,如果不同品牌的厂商使用了同一个云平台去存储后台数据,还能够跨品牌查看家居智能摄像头传输的实时图像;另外一旦云服务器厂商出现漏洞或云服务授权密码遭到泄漏,将导致所有用户隐私视频的大范围泄漏。可见,从技术生产根源所产生的安全问题更为不容忽视。
再者,从传输中间环节来看,相较而言,智能摄像头的传输中间环节非常薄弱,很容易被监控。猎豹移动安全专家就曾指出,用户隐私视频上传云端的整个过程缺乏有效的监管,在监控视频传输、存储的各环节都存在泄漏风险,极易被黑客盗取并泄露。
最后,从行业的角度而言,整个智能摄像头行业各监控环节,并未形成统一严格的标准规范,这也就为部分不法分子钻了空档。同时无论是管理平台的监管,还是用户隐私内容的上传等,行业内各品牌有着不同的方式,内容不一,标准不一,智能摄像头行业规避安全隐患问题道阻且长。
另从智能摄像头存安全隐患背后,不难分析出两点启示:
一,互联网科技是一把双刃剑,既为大众带来便利又不可避免地带来了安全性风险。智能摄像头从设计初衷来看,是要远程监控,保证人生财产信息安全等,未料发展到今天却成为他人探秘自己隐私的安全隐患,辩证地看待科技成果,方能为我所用。
二,一叶知秋,摄像头仅是智能家居系统的一部分,由此及彼,智能家居安全性问题再受关注。不可否认,智能化已是大势所趋并广泛应用,汽车、家电、门禁安防、医疗设备等都在逐步成为物联化、智能化的单品。
Gartner公司业务发展总监谢瑾认为,到2020年全球物联网相关产品预计会有80亿台的年出货量,约2600亿美元的年消费金额。智能终端的数量越庞大,与人们的生活联系就越紧密,一旦发生信息安全隐患,所造成的危害就会越大。
三方联动,防微杜渐
既然掌握以智能摄像头为代表的互联网终端产品存有安全风险,接下来如何防微杜渐?中国信息安全测评中心的徐长醒博士提醒道,新时代下网络空间存在各种各样的威胁,信息技术的漏洞无处不在,不法分子有机可趁,从企业到个人都必须采取相应的防范措施,加强智能设备的安全防护。而笔者在这里则总结为“三方联动,协同合作”,才能最大程度上降低安全风险指数。
第一方:消费者
质检总局建议消费者,一要选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息;二要求消费者增强隐私信息保护意识,在购买智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。
第二方:使用者
这一方主要针对已经购买了摄像头产品的用户而言,其应该使用并设置更强的密码,而且还要定期进行更改,这样才能更好地确保隐私不被泄露。不可忽视的是,摄像头所连接的路由器的安全也很重要,所以路由器也应该使用强密码并定期更改。
此外,用户还要及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。另外出于隐私保护,所购家居智能摄像头目的是为了防盗,可将摄像头置于门口外而非家里。如果必须放置家里,在不使用时不妨将其关掉或者断电等。
第三方:生产厂家
作为摄像头产品的提供方,厂家有义务从源头来提升家居智能摄像头产品的安全性,尤其是应提升管理平台的安全性,如对管理平台的数据进行加密、信息绑定等。另外针对设备本身,厂家也可以进行一些设置,如每一台设备都附有不同的初始密码、强制用户修改初始密码、限制用户只能使用强密码,甚至还可以每隔一段时间提醒用户修改密码等等。
当然,除消费者、使用者及生产厂家的三方联动外,还需要行业内完善标准的制定,加强监管,最大程度上降低安全风险。
正在“裸奔”的不止你一个,提高互联网治理能力大军亦可以加你一个。
