八成家用智能摄像头存泄密风险 可远程窃取画面你家安全吗?

日常生活中, 有不少人会在家中安装摄像头 。 然而近日, 有多名网友反映, 自己在家中安装了家用智能摄像头后, 出现个人信息、室内场景画面被泄露等现象, 疑与摄像头及其附属软件有关 。 昨天, 一位专业工程师向采访人员现场演示了获取家用智能摄像头用户信息及实时画面的全过程, 并证实个别品牌摄像头确实存在泄密可能 。 据了解, 根据相关测试结果, 目前市场上近八成家用智能摄像头产品存在安全缺陷 。
案例
张女士:客厅照片外泄被挂网上 照片角度和手机APP上画面一模一样
今年3月末, 北京市海淀区的张女士和老公通过网站购买了一组某知名品牌的远程监控摄像头, 并安装在客厅、卧室、厨房等多个位置 。
然而, 就在今年4月中旬, 张女士却无意间发现自家客厅的截图被挂在网页上 。 张女士称, 在此之前, 她和家人从来没邀请或允许任何网站的人到家中拍照片, “照片的角度就是从挂摄像头的位置拍摄的, 而且画质、颜色都和手机APP上的实时画面一模一样 。 ”
此后, 张女士设法与该网站取得了联系, 对方很快将网上照片删除 。 “对方说, 图片不是他们拍摄的, 而是从网上下载的, 我继续追问图片来源, 对方拒绝回答 。 ”
“我们怀疑和家里装的摄像头有关 。 ”无奈之下, 张女士只能将所有摄像头和相应的手机APP全部卸载 。
实验
破解代码可窃取实时画面 且清晰度高
昨天下午, 实验室安全研究员王先生, 为采访人员演示了通过软件漏洞获取已绑定手机用户摄像头实时画面的全过程 。 采访人员发现, 王先生所使用的工具仅为一台已经联网的电脑, 一部手机以及一段自行编写的代码 。
演示过程开始前, 王先生首先在手机上下载了某品牌家用摄像头的APP软件, 随后注册账号, 但并没绑定任何摄像头, 此时其页面中摄像头列表显示为空 。

八成家用智能摄像头存泄密风险 可远程窃取画面你家安全吗?

文章插图

△电脑输入代码后通过手机观看
随后, 王先生在电脑软件上输入刚刚注册的账号、密码, 并在电脑上运行其编写的代码 。 随着代码的运行, 手机APP页面上立即出现多个摄像头监控画面的预览图, 且随着时间的推移数量逐渐增多, 随机点开其中一个, 经过短暂加载, 摄像头远程传输的画面开始播放, 且清晰度相当高, 甚至可以辨别用户家电视中播放的电视画面 。 除此, 在代码脚本运行过程中, 大量用户注册时使用的手机号码也一同显示在屏幕上 。
王先生表示, 通过视频中的不同场景可以明显看出, 这些画面并不仅限于某一个用户安装的摄像头的拍摄画面 。 “如果需要的话, (别有用心的人)可以将所有注册此APP的用户信息全部弄出来, 然后根据单个用户的手机号码定位到某个特定用户身上”, 从而实施针对性极强的个别用户信息窃取活动 。 而只要轻轻点击手机APP软件上的录制按钮, 盗取的画面就会轻松地保存下来 。
结论
八成家用摄头存在安全漏洞 可随时获取摄像头图像、语音信息
安全研究员王先生告诉采访人员, 从测试结果来看, 目前, 有关视频画面泄露的问题主要集中在摄像头软件云端逻辑漏洞和手机APP软件漏洞两个方面, “其他可能导致信息泄露的问题也存在, 但是相比之下数量较少 。 ”
王先生所在的实验室在对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现, 近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷 。
八成家用智能摄像头存泄密风险 可远程窃取画面你家安全吗?

文章插图

△通过手机能看到别人家的摄像内容
据安全工程师刘健皓介绍, 这些安全缺陷的存在让接入网络的摄像头可以轻易被不法分子控制, 随时获取摄像头的图像和语音信息, 对安装摄像头的家庭或公司进行监控甚至网上直播 。
刘健皓解释, 从理论上讲, 通过手机远程查看到摄像头内容, 必须通过注册, 甚至要求“一对一” 。 但是, 个别品牌的摄像头与手机进行连接时, 并没有对手机身份进行验证, 这是一个非常严重的漏洞 。 黑客可以通过漏洞, 用一个虚拟的(端口)绑定就可以查看数百个摄像头实时画面, 而出现此漏洞的摄像头至少有数十款, 其中包括了一些著名品牌 。
建议
安全工程师:使用家用智能摄像头 这三点要注意!

推荐阅读