A09:关注
 
前一天  后一天

数字版首页 > 第A09:关注

家用摄像头存风险或成隐私“直播机”

家庭生活或被网上直播;运行相关代码可远程查看画面,摄像头所在地、主机名称等信息易泄露

2016年05月15日 星期日 新京报
分享:
“Shodan”网站显示,中国多个城市摄像头内容被泄露(图),该网站还能看到北京景山后街附近一商铺的店内情况,摄像头地址、IP信息等多个隐私内容一览无余。网站截图
“Shodan”网站显示,中国多个城市摄像头内容被泄露,该网站还能看到北京景山后街附近一商铺的店内情况,摄像头地址、IP信息等多个隐私内容一览无余(图)。网站截图

  随着人们安全防护意识的提高,近年来,智能摄像头已成为越来越多家庭的“标配”。连上Wi-Fi,即便出门在外也可时时监控家中的情况。

  据了解,智能家庭摄像头是从传统的工业安防监控摄像头演变而来,它具有很多好玩的新颖功能,适合普通家庭用户使用。

  与此同时,因设计生产和推广的相关企业繁杂,品牌众多,缺少统一的安全标准,一些产品缺乏完善的安全相关设计,因此很容易被黑客控制。

  近日,360攻防实验室发布全国首份《国内智能家庭摄像头安全状况评估报告》显示,目前在国内上市销售的智能摄像头品牌就多达107个。

  360攻防实验室安全工程师在对国内市场上销售的近百个品牌的家庭智能摄像头进行安全评估测试发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,随时图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。

  也就是说,您安装的家庭“小卫士”,很有可能成为窃取您隐私的“直播机”。

  ■ 案例

  国内多个城市摄像头拍摄画面泄露

  近日,一组摄像头拍摄“真人秀”的照片在网站流行,这些照片拍摄场景包括道路、办公室、家庭客厅甚至还有卧室场景。

  一名计算机爱好者透露,这些照片来自名为“Shodan”的网站,由于网络摄像头RTSP(实时流传输协议)存在安全漏洞,这家网站收录了成千上万网络摄像头拍摄的照片。

  5月13日下午,记者在360攻防实验室专家的帮助下访问了该网站。

  进入相关页面后看到,在顶部的地图区域,摄像头所在地详细位置被用红点标出,页面右下方是摄像头监控区域的画面。画面虽为固定,但可能会不定期收录、更新。页面左侧区域,标注着摄像头所在的国家、城市、互联网服务提供商、主机名称等信息。

  记者浏览网站看到,此网站收录了中国大陆地区的摄像头拍摄画面共有49个,涉及广州、北京、合肥、南京、重庆等城市。

  在一张北京的摄像头拍摄图片上,记者看到,画面是一家服装店的收银台,计算机、电话、账本POS机等物品清晰可见,途中,一女子正在盘点钱款,图片的IP地址显示,该摄像头的位置在北海东侧、景山后街附近。

  在另一张来自广州的家庭客厅监控照片中,一家三口都在客厅沙发上,丈夫正在看电视,女儿在其背后玩耍,妻子身穿短裙正坐在丈夫身边玩手机。定位信息显示,图片拍摄地点位于天成路和一德路之间的某小区。

  有网友提出,收银台、卧室这些涉及个人和店铺隐私的区域在未征得用户同意、甚至毫不知情的情况下被公开,“实在太可怕了!”

  ■ 探访

  网售产品未提示用户如何安全防范

  记者在各大网络购物平台搜索发现,目前市面上出售的家用摄像头品种繁多,售价在数十元到上千元不等,产品中不乏互联网领域的大品牌,一些商家还在商品页面上强调产品的材质、性能、信号强度、清晰度等方面的优势,但关于产品是否存在安全漏洞方面,记者在搜索中未见有商家提及。

  在一家销售量较高的网络店铺,记者向商家询问产品是否存在安全漏洞易被窃取时,多家商户告诉记者,自家产品高性能,不涉及会被泄露和窃取的情况

  一户商家称,产品出厂时会设置ID和密码,只要设置了密码,黑客或他人就无法入侵。

  足不出户可远程监控多个摄像头画面

  使用大品牌的智能摄像头,是否就可完全放心?5月13日,360攻防实验室专家刘健皓以几个市面上常见的摄像头为例,演示了通过软件的漏洞获取与手机绑定的家用摄像头实时画面的过程。

  首先,刘健皓用手机下载了一个摄像头产品的APP,注册登录后显示绑定的摄像头列表是空的。

  随后,刘健皓在电脑上运行其编写的代码,不到一分钟,手机登录APP的页面上显示出多个摄像头正在监控的画面。随着代码运行,呈现在手机上的摄像头越来越多,用户注册时使用的电话号码也逐一呈现出来。

  刘健皓在手机上点开其中一个监控摄像头,一收银员与顾客交易的画面开始直播。

  演示结束后,工作人员将软件及相关信息全部解绑并删除。专家称已通过邮件等形式向部分摄像头设计厂商提交了缺陷和漏洞详情。

  专家表示,如果需要的话,通过技术门槛不高的编程操作,任何人都能查看他人的家用摄像头内容,除了监控动态,别有用心的人还可以通过操作窃取用户的电话号码等个人信息,监控画面还可通过APP操作进行录制、拍摄等进行保存。

  ■ 建议

  应建立摄像头安全信息标准

  专家介绍,这些存在漏洞的摄像头IP地址,是技术人员对互联网上所有的IP地址扫描后分析得到的。在扫描安全漏洞时发现,摄像头不但能够看到家里的情况,甚至还能听得到声音。

  而这些被扫描出的摄像头IP中,有的因为没有密码,因此能够被搜索到,针对这一点,专家指出,很多小厂家在生产摄像头时,未设置密码;有的摄像头被设置了默认口令或较为简单的密码,一旦用户没有修改,摄像头所拍摄的画面也有可能被看到。

  专家建议,在购买产品时,看看网上能不能搜索到相关品牌设备的漏洞一类的问题。使用时,可设置一个有一定强度的密码,注意对密码进行保护。还要经常登录摄像头进行查看,如发现角度不对等情况,就需要自己的账号安全了。另外,要及时关注摄像头软件的提醒。如果绑定的手机上发现了请求验证码的短信,就应该立刻修改密码。

  同时,市民还应注意网络安全的资讯,关注智能摄像头安全方面的消息。如果设备出现漏洞就需要等待厂家更新。要保证所使用的智能家庭摄像头是最新版本的。

  此外,专家提出,目前国内没有针对家用智能摄像头的安全信息标准,呼吁相关标准尽快建立,以最大程度保障用户安全。

  ■ 律师说法

  窃取并公开摄像头内容违法

  北京盈科律师事务所律师葛磊提出,行为人用技术手段浏览和截屏他人的家用摄像头中的内容、视频和照片等行为,实际上已构成侵犯他人隐私权。若未对外公开,则不构成犯罪,依据《治安管理处罚法》相关规定处罚。被侵权人可依据《侵权责任法》的规定向法院提起民事诉讼,要求行为人停止侵害、排除妨碍和赔偿损失。

  若行为人在侵入他人电脑、浏览他人摄像头中的内容外,还有其他行为,则有可能构成犯罪。葛磊说,如行为人盗取他人商业秘密,给他人造成重大损失的,则可构成侵犯商业秘密罪,若造成损失数额在50万元以上的,应当判处三年以下有期徒刑或者拘役,并处或单处罚金。

  行为人若通过偷窥方式获得他人隐私照片,并利用互联网或者转移通讯终端进行制作、复制、出版、贩卖、传播,达到一定数量(以牟利为目的,制作、复制、出版、贩卖、传播淫秽图片二百件以上的;不以牟利为目的,制作、复制、出版、贩卖、传播淫秽图片四百件以上的),则构成《刑法》第363条规定的制作、复制、出版、贩卖、传播淫秽物品牟利罪,处三年以下有期徒刑、拘役或者管制,并处罚金。

  此外,葛磊提出,厂商生产或销售的产品存在安全漏洞,侵权人利用该漏洞造成他人损害后果的发生时,根据《侵权责任法》相关规定,生产者或销售者应与侵权人共同担责。

  本版采写/新京报记者 李禹潼

更多详细新闻请浏览新京报网 www.bjnews.com.cn