泄密的“看家神器”

人稱“看家神器”的智能攝像頭，如今是越來越普及了，小小的攝像頭使用成本低廉，作用卻不小，因此頗受消費(fèi)者歡迎，然而質(zhì)檢總局近日發(fā)布的智能攝像頭質(zhì)量安全風(fēng)險監(jiān)測結(jié)果，卻顯示這小小攝像頭的安全風(fēng)險狀況很不樂觀，來看記者調(diào)查。

小標(biāo)題一：八成智能攝像頭產(chǎn)品不符合標(biāo)準(zhǔn)

正文：經(jīng)過幾個月的風(fēng)險監(jiān)測，國家質(zhì)檢總局今日發(fā)布智能攝像頭產(chǎn)品質(zhì)量安全風(fēng)險警示，40批次產(chǎn)品中，竟然有32批次存在不符合項，不符合率高達(dá)80%。最終經(jīng)風(fēng)險評估專家評估認(rèn)定，此次智能攝像頭產(chǎn)品的風(fēng)險等級為“高等風(fēng)險”。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

高等風(fēng)險意味著+整個產(chǎn)品信息安全問題非常嚴(yán)重。就是說目前正在投入使用的這些攝像頭，都是存在相當(dāng)大的信息安全隱患，還有未來生產(chǎn)的一些攝像頭，還沒辦法進(jìn)行一個監(jiān)管，這樣一個風(fēng)險是長期存在的

正文：記者了解到，智能攝像頭是一種不需要電腦連接，直接使用Wi-Fi聯(lián)網(wǎng)的智能家居產(chǎn)品，與智能手機(jī)連接后，使用者可以遠(yuǎn)程隨時隨地查看家里或商店里的一切，查看老人兒童或員工狀況，與家人語音通話，還支持視頻分享、報警等功能。近幾年，這種以“看家”“看店”為賣點(diǎn)的智能產(chǎn)品在家庭中的應(yīng)用日益普遍。那么，這種新興的智能產(chǎn)品到底會存在著什么樣的高危安全漏洞呢？

 正文 ：在北 京市的幾家電子商城，記者發(fā)現(xiàn)了多款名為“互聯(lián)網(wǎng)攝像機(jī)”的智能攝像頭，銷售人員告訴記者，這些攝像頭安裝簡便，使用方便，只要連接了家里的wifi，馬上就能遠(yuǎn)程監(jiān)控自己家里的情況。

同期：智能攝像頭銷售人員

簡單三步，一分鐘完成安裝。太簡單了

小標(biāo)題二：電商是智能攝像頭主要銷售渠道

正文：記者了解到，目前智能攝像頭在實(shí)體店的產(chǎn)品數(shù)量有限，主要的銷售渠道在電商網(wǎng)站。記者登錄了幾家知名電商網(wǎng)站，發(fā)現(xiàn)在售的智能攝像頭產(chǎn)品多達(dá)幾十個品牌，價格大多在100到500塊錢之間。不少網(wǎng)店的銷售動態(tài)顯示，目前這類產(chǎn)品在網(wǎng)上的人氣還很高。多名銷售人員告訴記者，因為這類產(chǎn)品需要使用者注冊自己的賬號密碼，而且攝像頭的識別數(shù)據(jù)要跟自己的手機(jī)綁定，安全性不成問題，幾乎不存在被偷窺的可能。

同期：智能攝像頭銷售人員

拿你手機(jī)號注冊賬戶，它有它的序列號，你拿你的注冊號綁定它的序列號，一綁定，就是你的了，別人看不了，你想讓誰看，你可以推薦他為好友，他才能看，要不他看不了。

小標(biāo)題三：記者體驗智能攝像頭安裝過程

正文：記者發(fā)現(xiàn)，安全可靠，是絕大多數(shù)智能攝像頭品牌的宣傳關(guān)鍵詞。對記者隱私可能泄露的疑問，不少智能攝像頭產(chǎn)品的商家表示，手機(jī)綁定、密碼設(shè)定等安裝程序已經(jīng)確保了這類產(chǎn)品的私密性。記者隨后購買了幾款智能攝像頭，體驗了一次安裝過程。

現(xiàn)場：設(shè)備可以連接了，請用攝像頭掃描手機(jī)二維碼，正在連接，可以使用了。

記者：看到了。

正文：記者發(fā)現(xiàn)，在注冊了云平臺賬戶后，有的智能攝像頭使用掃描二維碼的方式與記者的手機(jī)進(jìn)行了綁定，有的需要輸入攝像頭設(shè)備的序列號和密碼進(jìn)行綁定。從使用者的角度，記者發(fā)現(xiàn)這些個人化的設(shè)置，使智能攝像頭的隱私安全還是存在一定保障的。那么，國家質(zhì)檢總局在大量監(jiān)測之后，得到的智能攝像頭具有信息安全高等風(fēng)險的結(jié)論，具體體現(xiàn)在哪里呢？記者來到了承擔(dān)此次風(fēng)險監(jiān)測任務(wù)的國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心。

小標(biāo)題四：復(fù)雜密碼僅為最低安全門檻

正文：記者了解到，手機(jī)綁定、設(shè)置足夠復(fù)雜的賬號密碼等方式，只是保障智能攝像頭安全的最低門檻，屬于智能攝像頭的終端安全項目。本次風(fēng)險監(jiān)測參考《信息系統(tǒng)安全等級保護(hù)基本要求》、《移動智能終端安全能力技術(shù)要求》和《移動智能終端安全能力測試方法》等標(biāo)準(zhǔn)要求，共對智能攝像頭的終端安全、后端信息系統(tǒng)安全、數(shù)據(jù)傳輸安全和移動應(yīng)用安全等4個方面進(jìn)行檢測。

正文：安全工程師隨即對幾款智能攝像頭進(jìn)行了數(shù)據(jù)傳輸是否安全的測試。根據(jù)相關(guān)要求，攝像頭與接收終端的通信過程應(yīng)進(jìn)行數(shù)據(jù)加密，避免明文傳輸。而安全工程師測試中發(fā)現(xiàn)，用最簡單的測試工具就截獲了一款智能攝像頭的視頻數(shù)據(jù)。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

現(xiàn)在我們通過一個簡單的程序，來測試一個未加密的數(shù)據(jù)，看怎么劫持到的。好我們現(xiàn)在輸入攝像頭的ID值，現(xiàn)在開始劫持未加密的攝像頭的視頻，現(xiàn)在已經(jīng)劫持成功了，我們現(xiàn)在通過一個播放軟件來觀看實(shí)時視頻

正文：記者看到，輸入截獲的數(shù)據(jù)后，測試環(huán)境里的視頻圖像立即顯現(xiàn)在播放軟件里。安全工程師告訴記者，這款智能攝像頭在使用設(shè)置過程中，雖然通過掃描二維碼綁定了手機(jī)，攝像頭的設(shè)備綁定具備了一定的強(qiáng)度，但是就是因為采用了未加密的數(shù)據(jù)傳輸方式，導(dǎo)致存在極高風(fēng)險的安全漏洞。

正文：安全工程師透露，相對于通過掃描二維碼綁定手機(jī)這種方式，不少智能攝像頭要求輸入的ID號和設(shè)備密碼，而這樣的方式較為原始，問題隱患更大。測試中發(fā)現(xiàn)，有的智能攝像頭設(shè)備密碼竟然還不能修改，安全工程師透露，這其實(shí)是等于公開了攝像頭所在的環(huán)境隱私。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

最弱的一個程度就是有些攝像頭出廠時密碼為123，有些攝像頭出廠時密碼為空，就是沒有密碼，沒有密碼的攝像頭甚至還不能修改密碼。+043606帶來的一個隱患就是攝像頭的弱密碼就一直暴露在網(wǎng)絡(luò)中，一旦有人連接它肯定是可以連接上，并且可以遠(yuǎn)程控制

正文：記者看到的這些智能攝像頭，其顯示的密碼信息要么是簡單的密碼，要么是密碼為空，安全工程師測試后發(fā)現(xiàn)，除了要求修改密碼的攝像頭，其余的智能攝像頭產(chǎn)品即使采取了視頻加密傳輸?shù)姆绞?，卻因為密碼不能修改而被輕易登錄，工程師甚至可以遠(yuǎn)程操控攝像頭進(jìn)行不同視角的窺視。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

這樣的情況屬于高風(fēng)險的情況，這樣的話就是說不用任何專業(yè)工具，普通的消費(fèi)者就可以通過簡單嘗試，就可能控制別人的攝像頭，那這個隱私（泄露）將是非常嚴(yán)重的一個問題

小標(biāo)題五：專家提醒：安全的云平臺應(yīng)該做到權(quán)限分離

正文：記者了解到，目前的智能攝像頭產(chǎn)品，大都是通過其自身或第三方的后端信息系統(tǒng)，也就是云平臺來實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)存儲、傳輸，由此可見云平臺安全的重要程度。安全工程師告訴記者，一個安全的云平臺應(yīng)該做到權(quán)限分離。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

合理的攝像頭設(shè)定，應(yīng)該是一個權(quán)限隔離，就是攝像頭和攝像頭之間的話，用戶不能查看到別人的攝像頭，就是完全的一個權(quán)限控制，控制到最小權(quán)限范圍之內(nèi)，你只能控制自己的攝像頭。就算是非法的技術(shù)人員進(jìn)行專業(yè)攻擊，來進(jìn)行試探，也不能攻擊到用戶的攝像頭。

小標(biāo)題六：多數(shù)安全漏洞出現(xiàn)在云平臺上

正文：而事實(shí)上，測試發(fā)現(xiàn)多數(shù)的安全漏洞恰恰就出現(xiàn)在云平臺上，由于存在權(quán)限漏洞，連接同一個云平臺的多個智能攝像頭的視頻數(shù)據(jù)，存在被同時竊取的可能。安全工程師測試了連接同一云平臺，架設(shè)在不同環(huán)境空間的四款智能攝像頭，其中三款攝像頭的音視頻數(shù)據(jù)，竟然同時被截獲。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

我們又看到這是志愿者家里面的客廳，還有是一個辦公場所，總共這三個品牌的攝像頭都是共用的一個云平臺，并且可以互相越權(quán)查看，還可以遠(yuǎn)程操作。

正文：安全工程師告訴記者，由于存在權(quán)限漏洞，即使在不知道這些智能攝像頭云平臺賬號密碼的情況下，也實(shí)現(xiàn)了對多款攝像頭的監(jiān)控。這意味著連接同一云平臺的所有智能攝像頭，都存在被竊取隱私的風(fēng)險。

正文：記者了解到，此次智能攝像頭信息安全的風(fēng)險監(jiān)測，共從廣東、湖南、江蘇等8個省市的38家企業(yè)共采集了38個品牌共40個型號的智能攝像頭產(chǎn)品，本次采樣品牌涵蓋了360、小米、中興、三星、?？低暤扰旁谑袌鲫P(guān)注度前5位的產(chǎn)品，覆蓋智能攝像頭品牌市場關(guān)注率的70%以上，同時還采集了部分新興品牌的產(chǎn)品。價格區(qū)間分別為700塊錢以上的高檔產(chǎn)品、300到700塊錢之間的中檔產(chǎn)品，以及300塊錢以下的低檔產(chǎn)品，其中87.5%為中低檔智能攝像頭。最終經(jīng)過對智能攝像頭終端、云平臺、數(shù)據(jù)傳輸以及移動應(yīng)用等4個安全項目的測試，40批次產(chǎn)品中存在安全漏洞的就多達(dá)32批次，占比高達(dá)80%，其中數(shù)據(jù)傳輸安全不符合項最多，達(dá)到28批次。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言044055從這四個方面來講的話，整個智能攝像頭的信息安全問題是非常嚴(yán)重的，無論是從終端本身還是云平臺，或者是數(shù)據(jù)傳輸這一塊，都是非常大的一個隱患。

小標(biāo)題七：智能攝像頭圖像被替換輕而易舉

正文：本來定位為“看家神器”的智能攝像頭，由于大量安全漏洞的存在，卻面臨著個人隱私被直播的尷尬。記者了解到，智能攝像頭的安全風(fēng)險帶來的，不僅是使用者家庭隱私的泄露，還可能被不法者利用，欺騙蒙蔽智能攝像頭的使用者，進(jìn)而實(shí)現(xiàn)非法目的。由于存在安全漏洞，智能攝像頭傳輸?shù)囊曨l圖像甚至還可能被替換成延時圖像，而使用者卻毫不知情。國內(nèi)一家物聯(lián)網(wǎng)安全研究機(jī)構(gòu)的技術(shù)人員做了一個演示。

同期：物聯(lián)網(wǎng)安全技術(shù)人員 胡宇真

現(xiàn)在看到的，應(yīng)該是同步的畫面。此時我們這邊要進(jìn)行一個攻擊演示，此時的電腦和攝像頭都是在一個局域網(wǎng)里面。好，我們進(jìn)行了攻擊演示，你可以看到現(xiàn)在畫面已經(jīng)停止，此時此刻我們已將筆筒移開了，但是畫面并沒有任何的更改。

演播室：

剛才這個過程讓我們聯(lián)想到了一些諜戰(zhàn)大片中的情節(jié)，很難想像的是，僅僅是在家里安裝了一個智能攝像頭就讓類似的情節(jié)離我們這樣的近。那么問題究竟出在了哪兒呢？

小標(biāo)題八：智能攝像頭廠商眾多

正文：記者了解到，作為人工智能科技的一個縮影，智能攝像頭雖然在近幾年剛剛興起，但卻迅速被市場認(rèn)可，因而短短的幾年時間，智能攝像頭的品牌已經(jīng)達(dá)到107個，無品牌的山寨產(chǎn)品更是難以計數(shù)。而發(fā)展過于迅速帶來的另一面，卻是生產(chǎn)廠家對信息安全的把控，遠(yuǎn)遠(yuǎn)跟不上市場的發(fā)展速度。記者了解到，目前智能攝像頭產(chǎn)品主要有三大類生產(chǎn)廠商：互聯(lián)網(wǎng)企業(yè)、貼牌廠商和原來的一些安保企業(yè)，但是不同的定位使這些企業(yè)暴露出各自的安全防護(hù)缺陷，進(jìn)而導(dǎo)致信息安全把控能力參差不齊。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心安全工程師 李樂言

最主要原因就是廠商的信息安全能力參差不齊，大量的原生電子廠或者是一些貼牌的廠商生產(chǎn)攝像頭，有些沒有生產(chǎn)攝像頭的實(shí)力，（而且）共用云平臺，會導(dǎo)致信息安全的漏洞。還有一些攝像頭（廠商），雖然自己有實(shí)力開發(fā)自己的軟件，但是在控制上沒有嚴(yán)格要求，這樣的不嚴(yán)格的控制會導(dǎo)致信息安全問題發(fā)生

正文：記者了解到，針對智能攝像頭這種新興的科技產(chǎn)品，信息安全項目涉及多個方面，既有產(chǎn)品本身的終端安全，也有云平臺的安全，以及移動應(yīng)用和數(shù)據(jù)傳輸?shù)陌踩乾F(xiàn)有的標(biāo)準(zhǔn)僅僅針對普通的信息系統(tǒng)進(jìn)行規(guī)范，沒有考慮到智能攝像頭這種產(chǎn)品的獨(dú)特屬性。目前的實(shí)際情況是，由于智能攝像頭專有標(biāo)準(zhǔn)的缺失，導(dǎo)致產(chǎn)品進(jìn)入市場之前，缺乏有效的安全測試和監(jiān)管。

同期：國家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗中心高級工程師 羅衡峰

就是攝像頭能達(dá)到一個什么樣的安全指標(biāo)，沒做明確的規(guī)范，然后相關(guān)的檢測標(biāo)準(zhǔn)也沒有，所以檢測機(jī)構(gòu)也不知道按照什么樣的標(biāo)準(zhǔn)來進(jìn)行檢測.廠家生產(chǎn)時首先關(guān)注功能的實(shí)現(xiàn)，可能對信息安全關(guān)注不夠，就是東西能用就行，會不會被別人（看到）可能考慮得還不是那么周全

正文：標(biāo)準(zhǔn)缺位，廠商安全把控能力不足，使得智能攝像頭進(jìn)入市場之后，在信息安全方面大多“帶病作業(yè)”，帶來了極大的安全隱患。如何讓智能攝像頭從現(xiàn)有的安全高風(fēng)險降到低風(fēng)險，甚至零風(fēng)險，專家認(rèn)為，除了需要生產(chǎn)廠商自覺提升信息安全把控能力，把攝像頭這種新興智能產(chǎn)品納入到強(qiáng)制標(biāo)準(zhǔn)規(guī)范范疇，讓每一個智能攝像頭都能經(jīng)過檢測入市，才是保障信息安全最牢固的一把鎖。

同期：物聯(lián)網(wǎng)安全高級工程師 盧佐華

就像我們每個人的家 ，不希望陌生人能隨便進(jìn)入 。我們也不希望別人，能通過智能攝像頭能看到家里的情況。短期來看，需要智能攝像頭的生產(chǎn)廠家，根據(jù)安全問題增加安全控制 ，這樣可能會增加一些安全成本 ，但對于消費(fèi)者放心接受產(chǎn)品是有好處的。那更長遠(yuǎn)地來看呢 ，我們希望考慮盡快制定，相關(guān)高科技設(shè)備的安全標(biāo)準(zhǔn)，用法律標(biāo)準(zhǔn)來規(guī)范 ，這樣才能讓攝像頭，成為消費(fèi)者心中真正的安全看家神器。

演播室：

看家還是引狼入室，目的和結(jié)果發(fā)生了對立的時候，問題就變得難以回避，我們期待最大程度享受物聯(lián)網(wǎng)的便利，避免不成熟不完善帶來的風(fēng)險。好感謝收看我們的節(jié)目，下周同一時間再見。