[[410703]]

近年來(lái)，與攝像頭有關(guān)的安全事件頻繁發(fā)生：

之所以有如此多的攝像頭安全事件，主要原因在于，圍繞被攻破的智能攝像頭已經(jīng)形成了一個(gè)地下產(chǎn)業(yè)鏈，很多販賣破解軟件者與黑客相互勾結(jié)，套取利益。

攝像頭黑色產(chǎn)業(yè)鏈

有些不法分子利用產(chǎn)品的技術(shù)漏洞破解了大量攝像頭IP地址，高價(jià)售賣破解軟件與“偷窺套餐”，他們通過(guò)較為隱蔽的方式出售已經(jīng)被破解的攝像頭ID和破解軟件。例如，在QQ上，他們以“攝像頭”為用戶名吸引客戶，列出“價(jià)目表”，包括168元、238元的“家庭套餐”以及收費(fèi)更高的“酒店套餐”和大學(xué)附近酒店，破解攝像頭ID數(shù)量在12個(gè)至15個(gè)之間。

有些違法商家未經(jīng)用戶允許，遠(yuǎn)程操縱攝像頭“直播”，公然監(jiān)視他人生活。如某App中含有大量未解鎖的隱私攝像頭監(jiān)控截圖，通過(guò)付費(fèi)綁定后，客戶就可以在手機(jī)端觀看。這些攝像頭大部分對(duì)準(zhǔn)的是臥室或客廳，給個(gè)人隱私帶來(lái)巨大威脅。

總結(jié)起來(lái)看，攝像頭黑色產(chǎn)業(yè)鏈的販賣流程大致是這樣的：

• 黑客利用市面存在的大量攝像頭做樣本，破解漏洞，制作成軟件，賣給下線。
• 販賣者拿到軟件后，自行掃描攝像頭IP地址，大部分被攻破是因?yàn)椴捎萌蹩诹蠲艽a，掃出智能攝像頭用戶名和密碼后，賣給有這方面需求的人。
• 購(gòu)買者從販賣者代理，銷售軟件，下載相關(guān)視頻，滿足自己的私欲。

事實(shí)上，作為企業(yè)和家庭中十分重要的安防設(shè)備之一，智能攝像頭給我們帶來(lái)很多安全感，也提供了諸多的方便。不過(guò)同時(shí)它又是一把雙刃劍，攝像頭一旦被入侵，除了會(huì)泄露個(gè)人隱私，甚至還會(huì)危害公共安全。

公共攝像頭性能高、覆蓋面廣，一旦被黑客成功控制，黑客就可以大范圍、多角度地監(jiān)視他人。此外，不少公共攝像頭在連接執(zhí)法機(jī)構(gòu)遠(yuǎn)程控制端的過(guò)程中，需要經(jīng)過(guò)多個(gè)中轉(zhuǎn)點(diǎn)。這期間，如若有一個(gè)中轉(zhuǎn)點(diǎn)被黑客攻破，就會(huì)對(duì)整個(gè)系統(tǒng)造成巨大的安全危害。

攝像頭是如何被黑客入侵的

小編總結(jié)了幾種比較常見(jiàn)的入侵方法：

• 在很多情況下，攻擊者會(huì)對(duì)攝像機(jī)的協(xié)議和端口進(jìn)行掃描，然后瀏覽和訪問(wèn)設(shè)備管理的頁(yè)面，如果失敗，便會(huì)選擇更加復(fù)雜的方式進(jìn)行掃描，從而找到攝像機(jī)，并模仿授權(quán)用戶。值得注意的是，攻擊者并不需要通過(guò)軟件漏洞便能攻擊攝像頭，許多攝像頭或者其他連接的設(shè)備會(huì)存在設(shè)計(jì)缺陷，這些安全漏洞便能成為黑客攻擊的切入口。

• 攻擊者利用攝像機(jī)在開(kāi)源或第三方庫(kù)中已知的軟件漏洞進(jìn)行攻擊，例如網(wǎng)絡(luò)服務(wù)器是相對(duì)較為脆弱的組件，黑客通常會(huì)利用第三方網(wǎng)絡(luò)服務(wù)器的漏洞訪問(wèn)攝像頭。

• 攻擊者利用命令注入攻擊(Command Injection)的方式，由于Web應(yīng)用程序?qū)τ脩籼峤坏臄?shù)據(jù)過(guò)濾不嚴(yán)格，導(dǎo)致黑客可以通過(guò)構(gòu)造特殊命令字符串的方式，將數(shù)據(jù)提交至Web應(yīng)用程序中，并利用該方式執(zhí)行外部程序或系統(tǒng)命令實(shí)施攻擊，非法獲取數(shù)據(jù)或者網(wǎng)絡(luò)資源等。如果開(kāi)發(fā)者對(duì)數(shù)據(jù)過(guò)濾得好，利用好白名單，就可以規(guī)避這種攻擊。

攝像頭安全該如何保護(hù)

(1) 國(guó)家層面

為了消除攝像頭網(wǎng)絡(luò)安全隱患，保障網(wǎng)絡(luò)安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。近日，由中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門(mén)聯(lián)合發(fā)布了《關(guān)于開(kāi)展攝像頭偷窺等黑產(chǎn)集中治理的公告》，決定在全國(guó)范圍組織開(kāi)展攝像頭偷窺黑產(chǎn)集中治理工作。重點(diǎn)包括加大聯(lián)網(wǎng)攝像頭安全威脅監(jiān)測(cè)處置力度、開(kāi)展視頻監(jiān)控云平臺(tái)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)檢查等。

(2) 生產(chǎn)方

應(yīng)加大安全投入，嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范設(shè)計(jì)、生產(chǎn)、維護(hù)智能攝像頭。從技術(shù)層面來(lái)說(shuō)，增強(qiáng)系統(tǒng)安全防御能力，減少安全漏洞;確保監(jiān)控系統(tǒng)與云服務(wù)平臺(tái)之間的數(shù)據(jù)交互安全。廠商還有必要向用戶及時(shí)發(fā)出安全提醒，在日常使用中增加安全知識(shí)與意識(shí)培養(yǎng)。

(3) 企業(yè)用戶

日常應(yīng)做好檢查工作，防范弱口令、漏洞等安全問(wèn)題。避免將攝像頭暴露在公網(wǎng)中，做好安全隔離，劃分專門(mén)安全域，實(shí)行分區(qū)保護(hù)。采取必要的威脅檢測(cè)手段，做好攻擊監(jiān)測(cè)工作，及時(shí)處置入侵風(fēng)險(xiǎn)和異常行為;定期進(jìn)行網(wǎng)絡(luò)暴露面的攝像頭資產(chǎn)探測(cè)，及時(shí)發(fā)現(xiàn)并處置暴露風(fēng)險(xiǎn)，及時(shí)聯(lián)系供應(yīng)商進(jìn)行固件升級(jí)和漏洞修補(bǔ)。

(4) 個(gè)人用戶

對(duì)于普通消費(fèi)者來(lái)說(shuō)，既要選擇安全性更高的大品牌產(chǎn)品，同時(shí)也要加強(qiáng)自己的隱私安全防范意識(shí)。

• 通過(guò)正規(guī)渠道購(gòu)買正規(guī)品牌廠家攝像頭，不要圖便宜，購(gòu)買三無(wú)產(chǎn)品。
• 增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，購(gòu)買之前認(rèn)真了解產(chǎn)品的使用方式，數(shù)據(jù)如何傳輸，怎樣加密，定期更新是否便捷等等。
• 不要采用默認(rèn)用戶名與密碼，要設(shè)置復(fù)雜密碼，可以是數(shù)字+字母+大小寫(xiě)+特殊符號(hào)這種類型。
• 攝像頭不要直接對(duì)著臥室與床鋪，或者更加私密的地方。

數(shù)字化高速發(fā)展時(shí)代的網(wǎng)絡(luò)信息安全問(wèn)題越來(lái)越突出!隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的進(jìn)步，網(wǎng)絡(luò)攝像頭等智能設(shè)備的應(yīng)用前景會(huì)更廣闊。在科技發(fā)展的同時(shí)，堅(jiān)守規(guī)則底線，才能做好數(shù)字時(shí)代的隱私保護(hù)。