警方摧毁家用摄像头黑产居家隐私竟成“直播真人秀”!

2017-07-29 19:13

  根据质检总局的调查,28 批次样品数据传输未加密。如果在数据传输的过程中进行加密,即使黑客拦截相应的信息也只能看到代码,看不到实际摄像头拍下来的影像。

  下面,雷锋网(号:雷锋网)宅客频道(微信ID:letshome)带你一一解析:

  虽然,你只愿享受这片刻的欢愉,但是,很有可能,“You are being watched”。

  其实,这个锅还得中小型厂家背,因为部分厂家不具备在线升级能力,还在使用 U盘,硬盘刷机物理方式升级,根本无法处理应急安全漏洞的问题。因此,厂商需要完整 OTA 在线升级方案,及时修补安全漏洞。

  日前,质检总局发布摄像头抽样检测报告,结果显示 40 批次产品中高达32批次存在安全风险。

  这时,大批吃瓜群众才知道,原来自己在摄像头前的一举一动,很可能成了他人眼中直播真人秀。

  还有 10 批次样品在操作系统更新有问题:未提供固件更新修复功能或者固件更新方式不安全。

  央视新闻频道还称,大量家庭摄像头存在的安全问题,只需要通过特定的扫描软件,就能够攻破摄像头的IP 地址,然后将被破解的 IP 地址输入播放软件,就可以实现。

  由于很多厂商都不具备自己的云服务能力,往往会跟一些性价比较高的第三方云服务提供商合作。一旦云服务商没有处理好安全问题,被黑客攻破后,所有跟他合作的摄像头厂商受到影响,造成用户信息泄露。

  有很多厂商在产品生产后没有对反复登录频次进行,以至很多黑客可以反复尝试密码,用用户信息或者其他密码尝试一直到攻破摄像机。

  雷锋网注:本文参考了质检总局在 360 智能硬件产业安全联盟大会上发布的报告、360摄像机产品负责人赵谦的发言。不久前,360 联合数十家受此次事件影响的网络摄像头厂商,共同发起了智能硬件产业安全联盟,公开了 360 硬件产品的安全标准规范,以及自家的SMART OS,联手防止“一言不合被直播”。

  有些产品生产出来以后,会设置非常简单密码,比如说“00000”、“123456”等,很容易被黑客破解。如果摄像头出厂前设定大小写、以及数字和字幕结合的密码设定,会安全很多。

  16 批次样品的密码等数据在本地存储时未采取加密措施。各个厂家对本地存储的理解不一样,小厂家将本地存储认定为 用户自己的行为——你已经存储到本地,用户自己保存就好,不会采取任何安全防护措施。

  当房间空无一人的时候,你有没有试过自己一个人尬舞?有没有对着镜子搔首弄姿,沉浸于自己的美貌?又或者,打开某个小草网站,开始做头部以下不可描述的事情?

  事情要追溯到 6月18日,央视新闻频道称,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,有大量人员非法购买后利用摄像头进行,严重了个人隐私。

  10 批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。

  造成摄像头的信息安全风险的原因有很多,但是多存在于数据传输、弱密码口令、操作系统/固件更新、信息的本地存储、身份鉴别、云平台等环节。

  声明:本文由入驻搜狐号的作者撰写,除搜狐账号外,观点仅代表作者本人,不代表搜狐立场。

  2016 年 10 月,美国互联网前所未有的黑客,几乎半个美国的网络陷入瘫痪。这其中,某款国产的网络摄像头的就因为存在弱密码口令漏洞,而遭受黑客,最后不得不召回部分产品。