1. 首頁 > 生活百科 > >

八成家用智能攝像頭存泄密風險 可遠程竊取畫面你家安全嗎?

母嬰育兒安全貼士智能攝像頭

日常生活中, 有不少人會在家中安裝攝像頭 。 然而近日, 有多名網友反映, 自己在家中安裝了家用智能攝像頭后, 出現個人信息、室內場景畫面被泄露等現象, 疑與攝像頭及其附屬軟件有關 。 昨天, 一位專業工程師向采訪人員現場演示了獲取家用智能攝像頭用戶信息及實時畫面的全過程, 并證實個別品牌攝像頭確實存在泄密可能 。 據了解, 根據相關測試結果, 目前市場上近八成家用智能攝像頭產品存在安全缺陷 。
案例
張女士:客廳照片外泄被掛網上 照片角度和手機APP上畫面一模一樣
今年3月末, 北京市海淀區的張女士和老公通過網站購買了一組某知名品牌的遠程監控攝像頭, 并安裝在客廳、臥室、廚房等多個位置 。
然而, 就在今年4月中旬, 張女士卻無意間發現自家客廳的截圖被掛在網頁上 。 張女士稱, 在此之前, 她和家人從來沒邀請或允許任何網站的人到家中拍照片, “照片的角度就是從掛攝像頭的位置拍攝的, 而且畫質、顏色都和手機APP上的實時畫面一模一樣 。 ”
此后, 張女士設法與該網站取得了聯系, 對方很快將網上照片刪除 。 “對方說, 圖片不是他們拍攝的, 而是從網上下載的, 我繼續追問圖片來源, 對方拒絕回答 。 ”
“我們懷疑和家里裝的攝像頭有關 。 ”無奈之下, 張女士只能將所有攝像頭和相應的手機APP全部卸載 。
實驗
破解代碼可竊取實時畫面 且清晰度高
昨天下午, 實驗室安全研究員王先生, 為采訪人員演示了通過軟件漏洞獲取已綁定手機用戶攝像頭實時畫面的全過程 。 采訪人員發現, 王先生所使用的工具僅為一臺已經聯網的電腦, 一部手機以及一段自行編寫的代碼 。
演示過程開始前, 王先生首先在手機上下載了某品牌家用攝像頭的APP軟件, 隨后注冊賬號, 但并沒綁定任何攝像頭, 此時其頁面中攝像頭列表顯示為空 。

八成家用智能攝像頭存泄密風險 可遠程竊取畫面你家安全嗎?

文章插圖

△電腦輸入代碼后通過手機觀看
隨后, 王先生在電腦軟件上輸入剛剛注冊的賬號、密碼, 并在電腦上運行其編寫的代碼 。 隨著代碼的運行, 手機APP頁面上立即出現多個攝像頭監控畫面的預覽圖, 且隨著時間的推移數量逐漸增多, 隨機點開其中一個, 經過短暫加載, 攝像頭遠程傳輸的畫面開始播放, 且清晰度相當高, 甚至可以辨別用戶家電視中播放的電視畫面 。 除此, 在代碼腳本運行過程中, 大量用戶注冊時使用的手機號碼也一同顯示在屏幕上 。
王先生表示, 通過視頻中的不同場景可以明顯看出, 這些畫面并不僅限于某一個用戶安裝的攝像頭的拍攝畫面 。 “如果需要的話, (別有用心的人)可以將所有注冊此APP的用戶信息全部弄出來, 然后根據單個用戶的手機號碼定位到某個特定用戶身上”, 從而實施針對性極強的個別用戶信息竊取活動 。 而只要輕輕點擊手機APP軟件上的錄制按鈕, 盜取的畫面就會輕松地保存下來 。
結論
八成家用攝頭存在安全漏洞 可隨時獲取攝像頭圖像、語音信息
安全研究員王先生告訴采訪人員, 從測試結果來看, 目前, 有關視頻畫面泄露的問題主要集中在攝像頭軟件云端邏輯漏洞和手機APP軟件漏洞兩個方面, “其他可能導致信息泄露的問題也存在, 但是相比之下數量較少 。 ”
王先生所在的實驗室在對國內市場上銷售的近百個品牌的家用智能攝像頭進行安全評估測試后發現, 近八成產品存在用戶信息泄露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全缺陷 。
八成家用智能攝像頭存泄密風險 可遠程竊取畫面你家安全嗎?

文章插圖

△通過手機能看到別人家的攝像內容
據安全工程師劉健皓介紹, 這些安全缺陷的存在讓接入網絡的攝像頭可以輕易被不法分子控制, 隨時獲取攝像頭的圖像和語音信息, 對安裝攝像頭的家庭或公司進行監控甚至網上直播 。
劉健皓解釋, 從理論上講, 通過手機遠程查看到攝像頭內容, 必須通過注冊, 甚至要求“一對一” 。 但是, 個別品牌的攝像頭與手機進行連接時, 并沒有對手機身份進行驗證, 這是一個非常嚴重的漏洞 。 黑客可以通過漏洞, 用一個虛擬的(端口)綁定就可以查看數百個攝像頭實時畫面, 而出現此漏洞的攝像頭至少有數十款, 其中包括了一些著名品牌 。
建議
安全工程師:使用家用智能攝像頭 這三點要注意!

推薦閱讀