大量摄像头存风险
日前,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测。结果仅两个品牌的摄像头,就有十几万个存在着弱口令漏洞。
18日,质检总局也对40批次的智能摄像头进行质量安全风险监测,结果表明,32批次样品存在质量安全隐患。也就是说,八成的智能摄像头存在安全风险。结果表明,32批次样品存在质量安全隐患。
其中,28批次样品数据传输未加密;20批次样品初始密码为弱口令,或者用户注册和修改密码时未限制用户密码复杂度;18批次样品在身份鉴别方面,未提供登录失败处理功能;16批次样品对用户密码、敏感信息等数据,在本地存储时未采取加密保护措施;10批次样品操作系统的更新有问题,未提供固件更新修复功能或者固件更新方式不安全;10批次样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;8批次样品未对恶意代码和特殊字符进行有效过滤;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看。上述问题可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。
去年5月,360安全实验室也曾对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷、弱口令等安全设计缺陷。
智能硬件漏洞或致网络瘫痪
不安全的智能摄像头除了会带来用户隐私被侵犯问题,还有可能酿成大祸。去年10月,美国爆发大规模网络瘫痪事故,多个城市的主要网站被攻击,包括推特、亚马逊、Paypal等在内的大量互联网知名网站数小时无法正常访问。该事故就被认为是智能摄像头、路由器、录像机等设备的密码问题所致。
360攻防实验室负责人刘健皓介绍,该病毒影响如此大的重要的原因是因为有如此之多的网络摄像头、数字录像机等设备生产出来时附带的默认密码从未更改过,一次简单的互联网扫描就能识别出这些密码。这样,手里掌握大量智能硬件漏洞的组织,就可以轻易地利用这样的程序,调动所有有漏洞的硬件发起进攻。
当然,智能硬件厂商在安全方面的表现也不尽如人意。刘健皓称,相当数量的智能硬件携带非常多的漏洞,这些漏洞往往是低级的,甚至由于很多硬件厂商选用相同的底层方案,这些漏洞还是通用的,一旦被不法分子利用,其后果不堪设想,这次美国断网事件就是一个很好的例证。
安全提醒
如何选购智能摄像头
普通消费者应当如何选择智能摄像头呢?质检总局提示广大消费者,在选购和使用智能摄像头产品时,要注意以下几点:
一是选择正规渠道购买智能摄像头产品,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息。
二是增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定。
三是使用时,应及时主动修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改。
四是及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。
文/本报记者 温婧
原标题:摄像头如何被他人控制
推荐
