最近，雷鋒網(wǎng)了解到，北京警方花了19天，摧毀了中國首例網(wǎng)上傳播家庭攝像頭破解軟件的犯罪鏈條，抓獲涉案人員 24 名。

事情要追溯到 6月18日，央視新聞?lì)l道稱，有人在 QQ 群中兜售遠(yuǎn)程控制家庭攝像頭的破解軟件，有大量人員非法購買后利用攝像頭進(jìn)行偷窺，嚴(yán)重侵犯了公民個(gè)人隱私。

央視新聞?lì)l道還稱，大量家庭攝像頭存在的安全問題，只需要通過特定的掃描軟件，就能夠攻破攝像頭的IP 地址，然后將被破解的 IP 地址輸入播放軟件，就可以實(shí)現(xiàn)偷窺。

這時(shí)，大批吃瓜群眾才知道，原來自己在攝像頭前的一舉一動(dòng)，很可能成了他人眼中直播真人秀。

當(dāng)房間空無一人的時(shí)候，你有沒有試過自己一個(gè)人尬舞？有沒有對(duì)著鏡子搔首弄姿，沉浸于自己的美貌？又或者，打開某個(gè)小草網(wǎng)站，開始做頭部以下不可描述的事情？

雖然，你只愿享受這片刻的歡愉，但是，很有可能，“You are being watched”。

國家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師高勝稱，這些軟件主要是依靠掃描器，用一些弱口令密碼，做大范圍的掃描。隨后，國家互聯(lián)網(wǎng)應(yīng)急中心在市場(chǎng)占有率排名前五的智能攝像頭品牌中隨機(jī)挑選了兩家，進(jìn)行了弱口令漏洞分布的全國性監(jiān)測(cè)，僅兩個(gè)品牌的攝像頭，就有十幾萬個(gè)存在著弱口令漏洞。

日前，質(zhì)檢總局發(fā)布攝像頭抽樣檢測(cè)報(bào)告，結(jié)果顯示 40 批次產(chǎn)品中高達(dá)32批次存在安全風(fēng)險(xiǎn)。

那么，為何這些網(wǎng)絡(luò)攝像頭這么容易被攻破？

造成攝像頭的信息安全風(fēng)險(xiǎn)的原因有很多，但是多存在于數(shù)據(jù)傳輸、弱密碼口令、操作系統(tǒng)/固件更新、敏感信息的本地存儲(chǔ)、身份鑒別、云平臺(tái)等環(huán)節(jié)。

下面，雷鋒網(wǎng)宅客頻道（微信ID：letshome）帶你一一解析：

1.數(shù)據(jù)傳輸

根據(jù)質(zhì)檢總局的調(diào)查，28 批次樣品數(shù)據(jù)傳輸未加密。如果在數(shù)據(jù)傳輸?shù)倪^程中進(jìn)行加密，即使黑客攔截相應(yīng)的信息也只能看到代碼，看不到實(shí)際攝像頭拍下來的影像。

當(dāng)然，除了對(duì)傳輸過程進(jìn)行加密，對(duì)錄像的本地存儲(chǔ)數(shù)據(jù)進(jìn)行加密也很重要。

2.弱口令 / 密碼

在該報(bào)告中，還有 20 批次存在弱口令，或者限制用戶密碼復(fù)雜度的問題。

有些產(chǎn)品生產(chǎn)出來以后，會(huì)設(shè)置非常簡(jiǎn)單密碼，比如說“00000”、“123456”等，很容易被黑客破解。如果攝像頭出廠前設(shè)定大小寫、以及數(shù)字和字幕結(jié)合的密碼設(shè)定，會(huì)安全很多。

2016 年 10 月，美國互聯(lián)網(wǎng)遭遇前所未有的黑客攻擊，幾乎半個(gè)美國的網(wǎng)絡(luò)陷入癱瘓。這其中，某款國產(chǎn)的網(wǎng)絡(luò)攝像頭的就因?yàn)榇嬖谌趺艽a口令漏洞，而遭受黑客攻擊，最后不得不召回部分產(chǎn)品。

3.操作系統(tǒng) / 固件更新

還有 10 批次樣品在操作系統(tǒng)更新有問題：未提供固件更新修復(fù)功能或者固件更新方式不安全。

其實(shí)，這個(gè)鍋還得中小型廠家背，因?yàn)椴糠謴S家不具備在線升級(jí)能力，還在使用 U盤，硬盤刷機(jī)物理方式升級(jí)，根本無法處理應(yīng)急安全漏洞的問題。因此，廠商需要完整 OTA 在線升級(jí)方案，及時(shí)修補(bǔ)安全漏洞。

4.敏感信息的本地存儲(chǔ)

16 批次樣品的密碼等敏感數(shù)據(jù)在本地存儲(chǔ)時(shí)未采取加密保護(hù)措施。各個(gè)廠家對(duì)本地存儲(chǔ)的理解不一樣，小廠家將本地存儲(chǔ)認(rèn)定為 用戶自己的行為——你已經(jīng)存儲(chǔ)到本地，用戶自己保存就好，不會(huì)采取任何安全防護(hù)措施。

最好的做法還是本地以及云端都采用加密存儲(chǔ)的方式。

5.身份鑒別

18 批次樣品在身份鑒別方面未提供登錄失敗處理功能。

有很多廠商在產(chǎn)品生產(chǎn)后沒有對(duì)反復(fù)登錄頻次進(jìn)行限制，以至很多黑客可以反復(fù)嘗試密碼，用用戶信息或者其他密碼嘗試一直到攻破攝像機(jī)。

6.云平臺(tái)

10 批次樣品在后端信息系統(tǒng)存在越權(quán)漏洞，同一平臺(tái)內(nèi)可以查看任意用戶攝像。

由于很多廠商都不具備自己的云服務(wù)能力，往往會(huì)跟一些性價(jià)比較高的第三方云服務(wù)提供商合作。一旦云服務(wù)商沒有處理好安全問題，被黑客攻破后，所有跟他合作的攝像頭廠商受到影響，造成用戶信息泄露。

一粒老鼠屎，打壞了一鍋油。

安全的做法是：對(duì)每一個(gè)用戶、每一臺(tái)設(shè)備都設(shè)立獨(dú)立密鑰。

雷鋒網(wǎng)注：本文參考了質(zhì)檢總局在 360 智能硬件產(chǎn)業(yè)安全聯(lián)盟大會(huì)上發(fā)布的報(bào)告、360攝像機(jī)產(chǎn)品負(fù)責(zé)人趙謙的發(fā)言。不久前，360 聯(lián)合數(shù)十家受此次事件影響的網(wǎng)絡(luò)攝像頭廠商，共同發(fā)起了智能硬件產(chǎn)業(yè)安全聯(lián)盟，公開了 360 硬件產(chǎn)品的安全標(biāo)準(zhǔn)規(guī)范，以及自家的SMART OS，聯(lián)手防止“一言不合被直播”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。