八成家用智慧攝影機存洩密風險 破解後可竊取即時畫面

透過手機能看到別人家的攝影內容。

近日,有多名網友反映,自己在家中安裝了家用智慧網路攝影機後,出現個人資訊、室內場景畫面被洩露等現象,疑與網路攝影機及其附屬軟體有關。

根據京華時報報導,一位專業工程師10日下午向記者現場演示了獲取家用智慧網路攝影機用戶資訊及即時畫面的全過程,並證實個別品牌網路攝影機確實存在洩密可能。據瞭解,根據相關測試結果,目前市場上近八成家用智慧網路攝影機產品存在安全缺陷。

案例
客廳照片外洩被掛網上

張女士家住海澱,她和老公白天都要上班,家中兩歲半兒子無人照料,所以聘請了一名全職保姆照看。為能夠即時掌握兒子在家的資訊,夫妻倆於今(2016)年3月末透過網站購買了一組某知名品牌的遠端監控網路攝影機,並安裝在客廳、臥室、廚房等多個位置。

然而,就在今年4月中旬,張女士在瀏覽某小型家居網站時,無意間發現自家客廳的截圖被掛在網頁上。張女士稱,在此之前,她和家人從來沒邀請或允許任何網站的人到家中拍照片,『照片的角度就是從掛網路攝影機的位置拍攝的,而且畫質、顏色都和手機APP上的即時畫面一模一樣。』

此後,張女士設法與該網站取得了聯繫,對方很快將網上照片刪除。『對方說,圖片不是他們拍攝的,而是從網上下載的,我繼續追問圖片來源,對方拒絕回答。』

張女士稱,圖片中沒有出現兒子和保姆的影像,『應該說並沒有出現特別嚴重的隱私洩露情況,可是這個隱患實在太可怕了,如果是臥室的畫面洩露,那後果不堪設想。』

『我們懷疑和家裡裝的網路攝影機有關。』無奈之下,張女士只能將所有網路攝影機和相應的手機APP全部卸載。

實驗
破解代碼竊取即時畫面

針對頻頻出現的家用智慧網路攝影機洩密現象,某實驗室在對大陸國內市場上銷售的近百個品牌的家用網路攝影機進行了安全評估測試後發現,市面上不少品牌的網路攝影機,存在用戶資訊洩露、資料傳輸未加密等安全缺陷,甚至可以在用戶毫不知情的情況下,直接即時觀看用戶網路攝影機拍攝的內容並錄影。

10日下午,實驗室安全研究員王先生,為記者演示了透過軟體漏洞獲取已綁定手機用戶網路攝影機即時畫面的全過程。記者發現,王先生所使用的工具僅為一台已經聯網的電腦,一部手機以及一段自行編寫的代碼。

演示過程開始前,王先生首先在手機上下載了某品牌家用網路攝影機的APP軟體,隨後註冊帳號,但並沒綁定任何網路攝影機,此時其頁面中網路攝影機列表顯示為空。

隨後,王先生在電腦軟體上輸入剛剛註冊的帳號、密碼,並在電腦上運行其編寫的代碼。隨著代碼的運行,手機APP頁面上立即出現多個網路攝影機監控畫面的預覽圖,且隨著時間的推移數量逐漸增多,隨機點開其中一個,經過短暫載入,網路攝影機遠端傳輸的畫面開始播放,且清晰度相當高,甚至可以辨別用戶家電視中播放的電視畫面。除此,在代碼腳本運行過程中,大量用戶註冊時使用的手機號碼也一同顯示在螢幕上。

王先生表示,透過影片中的不同場景可以明顯看出,這些畫面並不僅限於某一個用戶安裝的網路攝影機的拍攝畫面。『如果需要的話,(別有用心的人)可以將所有註冊此APP的用戶資訊全部弄出來,然後根據單個用戶的手機號碼定位到某個特定用戶身上』,從而實施針對性極強的個別用戶資訊竊取活動。而只要輕輕點擊手機APP軟體上的錄製按鈕,盜取的畫面就會輕鬆地保存下來。

而對於這段作為工具的代碼,王先生稱,只要有一定編程知識和經驗的人都可以完成,並不存在特別高的技術門檻,『就現在而言,能夠編寫這種代碼的人還是很多的。』

結論
八成家用
攝影機存在安全性漏洞

在一份題為《網路攝影機橫向測試表》的文件中記者發現,技術人員對目前市面上多個品牌的網路攝影機,進行了『手機控制終端』、『雲端應用安全』、『設備終端安全』三個大項30多個小項的測試,結果所涉獵品牌均或多或少存在安全問題。

安全研究員王先生告訴記者,從測試結果來看,目前,有關影片畫面洩露的問題主要集中在網路攝影機軟體雲端邏輯漏洞和手機APP軟體漏洞兩個方面,『其他可能導致資訊洩露的問題也存在,但是相比之下數量較少。』

王先生所在的實驗室在對大陸國內市場上銷售的近百個品牌的家用智慧網路攝影機進行安全評估測試後發現,近八成產品存在用戶資訊洩露、資料傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬體存在調試介面、可橫向控制等安全缺陷。

據安全工程師劉健皓介紹,這些安全缺陷的存在讓接入網路的網路攝影機可以輕易被不法分子控制,隨時獲取網路攝影機的圖像和語音資訊,對安裝網路攝影機的家庭或公司進行監控甚至網上直播。

劉健皓解釋,從理論上講,透過手機遠端查看到網路攝影機內容,必須透過註冊,甚至要求『一對一』。但是,個別品牌的網路攝影機與手機進行連接時,並沒有對手機身分進行驗證,這是一個非常嚴重的漏洞。駭客可以透過漏洞,用一個虛擬的綁定就可以查看數百個網路攝影機即時畫面,而出現此漏洞的網路攝影機至少有數十款,其中包括了一些著名品牌。

建議
有關部門須建立網路攝影機安全標準

針對如何能夠保障用戶使用家用智慧網路攝影機拍攝的個人隱私不被洩露的問題,軟體安全工程師提醒廣大用戶,首先在購買網路攝影機時,應對所選品牌進行一些調查,可以透過互聯網查詢與目標品牌相關的帖子或報導,『目的就是找到一個口碑不錯,價格也合適的品牌』。

第二,在使用時,要注意設置一定強度的密碼,及時關注網路攝影機軟體的提醒。如果綁定的手機上發現了請求驗證碼的簡訊,就應該立刻修改密碼。

第三,經常登錄網路攝影機進行查看,如發現實際拍攝角度與安裝時發生變化等情況,就需要考慮自己的帳號安全了。同時,要關注所用品牌網路攝影機安全方面的消息,如果發現設備漏洞應停止使用,等待廠家更新,並保證所使用的網路攝影機軟體是最新版本。

與此同時,安全工程師還針對家用智慧網路攝影機行業提出了建議。首先,有關部門亟須建立一套針對智慧網路攝影機的資訊安全標準。其次,建議智慧硬體開發商建立自己的運營平台,以保護消費者的資料安全,及時發現並阻斷駭客的攻擊。最後,需要制定一套有效的應急回應預案,確保在安全性漏洞出現後,能夠快速回應,並最大程度降低用戶的損失。

說法
技術偷窺侵犯個人隱私算犯法

針對頻頻出現的家用智慧網路攝影機洩露個人隱私事件,北京雄志律師事務所律師姜健表示,個人住宅屬於自然人較為私密的生活空間,有權利根據個人意願公開或不公開,即所謂的隱私權。如果有人利用資訊技術手段遠端控制他人安裝在室內網路攝影機,非經權利人同意而獲取他人住宅內生活資訊,雖然手段新穎,但本質上仍屬於偷窺行為,侵犯了他人的隱私權。

根據大陸治安管理處罰法的相關規定,偷窺、偷拍、竊聽、散布他人隱私的,處5日以下拘留或者500元( 以人民幣計算,以下同)以下罰款;情節較重的,處5日以上10日以下拘留,可以並處500元以下罰款。如透過偷窺形式獲得的他人私密照片,並上傳到網路平台,或者出售獲利的,將涉嫌構成刑事犯罪。另外,被侵權人有權向侵權人主張民事賠償責任。


電腦輸入代碼後透過手機觀看。