泄密的“看家神器”

人稱“看家神器”的智能攝像頭，如今是越來越普及了，小小的攝像頭使用成本低廉，作用卻不小，因此頗受消費(fèi)者歡迎，然而質(zhì)檢總局近日發(fā)布的智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)結(jié)果，卻顯示這小小攝像頭的安全風(fēng)險(xiǎn)狀況很不樂觀，來看記者調(diào)查。

小標(biāo)題一：八成智能攝像頭產(chǎn)品不符合標(biāo)準(zhǔn)

正文：經(jīng)過幾個(gè)月的風(fēng)險(xiǎn)監(jiān)測(cè)，國(guó)家質(zhì)檢總局今日發(fā)布智能攝像頭產(chǎn)品質(zhì)量安全風(fēng)險(xiǎn)警示，40批次產(chǎn)品中，竟然有32批次存在不符合項(xiàng)，不符合率高達(dá)80%。最終經(jīng)風(fēng)險(xiǎn)評(píng)估專家評(píng)估認(rèn)定，此次智能攝像頭產(chǎn)品的風(fēng)險(xiǎn)等級(jí)為“高等風(fēng)險(xiǎn)”。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

高等風(fēng)險(xiǎn)意味著+整個(gè)產(chǎn)品信息安全問題非常嚴(yán)重。就是說目前正在投入使用的這些攝像頭，都是存在相當(dāng)大的信息安全隱患，還有未來生產(chǎn)的一些攝像頭，還沒辦法進(jìn)行一個(gè)監(jiān)管，這樣一個(gè)風(fēng)險(xiǎn)是長(zhǎng)期存在的

正文：記者了解到，智能攝像頭是一種不需要電腦連接，直接使用Wi-Fi聯(lián)網(wǎng)的智能家居產(chǎn)品，與智能手機(jī)連接后，使用者可以遠(yuǎn)程隨時(shí)隨地查看家里或商店里的一切，查看老人兒童或員工狀況，與家人語音通話，還支持視頻分享、報(bào)警等功能。近幾年，這種以“看家”“看店”為賣點(diǎn)的智能產(chǎn)品在家庭中的應(yīng)用日益普遍。那么，這種新興的智能產(chǎn)品到底會(huì)存在著什么樣的高危安全漏洞呢？

 正文 ：在北 京市的幾家電子商城，記者發(fā)現(xiàn)了多款名為“互聯(lián)網(wǎng)攝像機(jī)”的智能攝像頭，銷售人員告訴記者，這些攝像頭安裝簡(jiǎn)便，使用方便，只要連接了家里的wifi，馬上就能遠(yuǎn)程監(jiān)控自己家里的情況。

同期：智能攝像頭銷售人員

簡(jiǎn)單三步，一分鐘完成安裝。太簡(jiǎn)單了

小標(biāo)題二：電商是智能攝像頭主要銷售渠道

正文：記者了解到，目前智能攝像頭在實(shí)體店的產(chǎn)品數(shù)量有限，主要的銷售渠道在電商網(wǎng)站。記者登錄了幾家知名電商網(wǎng)站，發(fā)現(xiàn)在售的智能攝像頭產(chǎn)品多達(dá)幾十個(gè)品牌，價(jià)格大多在100到500塊錢之間。不少網(wǎng)店的銷售動(dòng)態(tài)顯示，目前這類產(chǎn)品在網(wǎng)上的人氣還很高。多名銷售人員告訴記者，因?yàn)檫@類產(chǎn)品需要使用者注冊(cè)自己的賬號(hào)密碼，而且攝像頭的識(shí)別數(shù)據(jù)要跟自己的手機(jī)綁定，安全性不成問題，幾乎不存在被偷窺的可能。

同期：智能攝像頭銷售人員

拿你手機(jī)號(hào)注冊(cè)賬戶，它有它的序列號(hào)，你拿你的注冊(cè)號(hào)綁定它的序列號(hào)，一綁定，就是你的了，別人看不了，你想讓誰看，你可以推薦他為好友，他才能看，要不他看不了。

小標(biāo)題三：記者體驗(yàn)智能攝像頭安裝過程

正文：記者發(fā)現(xiàn)，安全可靠，是絕大多數(shù)智能攝像頭品牌的宣傳關(guān)鍵詞。對(duì)記者隱私可能泄露的疑問，不少智能攝像頭產(chǎn)品的商家表示，手機(jī)綁定、密碼設(shè)定等安裝程序已經(jīng)確保了這類產(chǎn)品的私密性。記者隨后購(gòu)買了幾款智能攝像頭，體驗(yàn)了一次安裝過程。

現(xiàn)場(chǎng)：設(shè)備可以連接了，請(qǐng)用攝像頭掃描手機(jī)二維碼，正在連接，可以使用了。

記者：看到了。

正文：記者發(fā)現(xiàn)，在注冊(cè)了云平臺(tái)賬戶后，有的智能攝像頭使用掃描二維碼的方式與記者的手機(jī)進(jìn)行了綁定，有的需要輸入攝像頭設(shè)備的序列號(hào)和密碼進(jìn)行綁定。從使用者的角度，記者發(fā)現(xiàn)這些個(gè)人化的設(shè)置，使智能攝像頭的隱私安全還是存在一定保障的。那么，國(guó)家質(zhì)檢總局在大量監(jiān)測(cè)之后，得到的智能攝像頭具有信息安全高等風(fēng)險(xiǎn)的結(jié)論，具體體現(xiàn)在哪里呢？記者來到了承擔(dān)此次風(fēng)險(xiǎn)監(jiān)測(cè)任務(wù)的國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。

小標(biāo)題四：復(fù)雜密碼僅為最低安全門檻

正文：記者了解到，手機(jī)綁定、設(shè)置足夠復(fù)雜的賬號(hào)密碼等方式，只是保障智能攝像頭安全的最低門檻，屬于智能攝像頭的終端安全項(xiàng)目。本次風(fēng)險(xiǎn)監(jiān)測(cè)參考《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《移動(dòng)智能終端安全能力技術(shù)要求》和《移動(dòng)智能終端安全能力測(cè)試方法》等標(biāo)準(zhǔn)要求，共對(duì)智能攝像頭的終端安全、后端信息系統(tǒng)安全、數(shù)據(jù)傳輸安全和移動(dòng)應(yīng)用安全等4個(gè)方面進(jìn)行檢測(cè)。

正文：安全工程師隨即對(duì)幾款智能攝像頭進(jìn)行了數(shù)據(jù)傳輸是否安全的測(cè)試。根據(jù)相關(guān)要求，攝像頭與接收終端的通信過程應(yīng)進(jìn)行數(shù)據(jù)加密，避免明文傳輸。而安全工程師測(cè)試中發(fā)現(xiàn)，用最簡(jiǎn)單的測(cè)試工具就截獲了一款智能攝像頭的視頻數(shù)據(jù)。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

現(xiàn)在我們通過一個(gè)簡(jiǎn)單的程序，來測(cè)試一個(gè)未加密的數(shù)據(jù)，看怎么劫持到的。好我們現(xiàn)在輸入攝像頭的ID值，現(xiàn)在開始劫持未加密的攝像頭的視頻，現(xiàn)在已經(jīng)劫持成功了，我們現(xiàn)在通過一個(gè)播放軟件來觀看實(shí)時(shí)視頻

正文：記者看到，輸入截獲的數(shù)據(jù)后，測(cè)試環(huán)境里的視頻圖像立即顯現(xiàn)在播放軟件里。安全工程師告訴記者，這款智能攝像頭在使用設(shè)置過程中，雖然通過掃描二維碼綁定了手機(jī)，攝像頭的設(shè)備綁定具備了一定的強(qiáng)度，但是就是因?yàn)椴捎昧宋醇用艿臄?shù)據(jù)傳輸方式，導(dǎo)致存在極高風(fēng)險(xiǎn)的安全漏洞。

正文：安全工程師透露，相對(duì)于通過掃描二維碼綁定手機(jī)這種方式，不少智能攝像頭要求輸入的ID號(hào)和設(shè)備密碼，而這樣的方式較為原始，問題隱患更大。測(cè)試中發(fā)現(xiàn)，有的智能攝像頭設(shè)備密碼竟然還不能修改，安全工程師透露，這其實(shí)是等于公開了攝像頭所在的環(huán)境隱私。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

最弱的一個(gè)程度就是有些攝像頭出廠時(shí)密碼為123，有些攝像頭出廠時(shí)密碼為空，就是沒有密碼，沒有密碼的攝像頭甚至還不能修改密碼。+043606帶來的一個(gè)隱患就是攝像頭的弱密碼就一直暴露在網(wǎng)絡(luò)中，一旦有人連接它肯定是可以連接上，并且可以遠(yuǎn)程控制

正文：記者看到的這些智能攝像頭，其顯示的密碼信息要么是簡(jiǎn)單的密碼，要么是密碼為空，安全工程師測(cè)試后發(fā)現(xiàn)，除了要求修改密碼的攝像頭，其余的智能攝像頭產(chǎn)品即使采取了視頻加密傳輸?shù)姆绞?，卻因?yàn)槊艽a不能修改而被輕易登錄，工程師甚至可以遠(yuǎn)程操控?cái)z像頭進(jìn)行不同視角的窺視。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

這樣的情況屬于高風(fēng)險(xiǎn)的情況，這樣的話就是說不用任何專業(yè)工具，普通的消費(fèi)者就可以通過簡(jiǎn)單嘗試，就可能控制別人的攝像頭，那這個(gè)隱私（泄露）將是非常嚴(yán)重的一個(gè)問題

小標(biāo)題五：專家提醒：安全的云平臺(tái)應(yīng)該做到權(quán)限分離

正文：記者了解到，目前的智能攝像頭產(chǎn)品，大都是通過其自身或第三方的后端信息系統(tǒng)，也就是云平臺(tái)來實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)存儲(chǔ)、傳輸，由此可見云平臺(tái)安全的重要程度。安全工程師告訴記者，一個(gè)安全的云平臺(tái)應(yīng)該做到權(quán)限分離。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

合理的攝像頭設(shè)定，應(yīng)該是一個(gè)權(quán)限隔離，就是攝像頭和攝像頭之間的話，用戶不能查看到別人的攝像頭，就是完全的一個(gè)權(quán)限控制，控制到最小權(quán)限范圍之內(nèi)，你只能控制自己的攝像頭。就算是非法的技術(shù)人員進(jìn)行專業(yè)攻擊，來進(jìn)行試探，也不能攻擊到用戶的攝像頭。

小標(biāo)題六：多數(shù)安全漏洞出現(xiàn)在云平臺(tái)上

正文：而事實(shí)上，測(cè)試發(fā)現(xiàn)多數(shù)的安全漏洞恰恰就出現(xiàn)在云平臺(tái)上，由于存在權(quán)限漏洞，連接同一個(gè)云平臺(tái)的多個(gè)智能攝像頭的視頻數(shù)據(jù)，存在被同時(shí)竊取的可能。安全工程師測(cè)試了連接同一云平臺(tái)，架設(shè)在不同環(huán)境空間的四款智能攝像頭，其中三款攝像頭的音視頻數(shù)據(jù)，竟然同時(shí)被截獲。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

我們又看到這是志愿者家里面的客廳，還有是一個(gè)辦公場(chǎng)所，總共這三個(gè)品牌的攝像頭都是共用的一個(gè)云平臺(tái)，并且可以互相越權(quán)查看，還可以遠(yuǎn)程操作。

正文：安全工程師告訴記者，由于存在權(quán)限漏洞，即使在不知道這些智能攝像頭云平臺(tái)賬號(hào)密碼的情況下，也實(shí)現(xiàn)了對(duì)多款攝像頭的監(jiān)控。這意味著連接同一云平臺(tái)的所有智能攝像頭，都存在被竊取隱私的風(fēng)險(xiǎn)。

正文：記者了解到，此次智能攝像頭信息安全的風(fēng)險(xiǎn)監(jiān)測(cè)，共從廣東、湖南、江蘇等8個(gè)省市的38家企業(yè)共采集了38個(gè)品牌共40個(gè)型號(hào)的智能攝像頭產(chǎn)品，本次采樣品牌涵蓋了360、小米、中興、三星、海康威視等排在市場(chǎng)關(guān)注度前5位的產(chǎn)品，覆蓋智能攝像頭品牌市場(chǎng)關(guān)注率的70%以上，同時(shí)還采集了部分新興品牌的產(chǎn)品。價(jià)格區(qū)間分別為700塊錢以上的高檔產(chǎn)品、300到700塊錢之間的中檔產(chǎn)品，以及300塊錢以下的低檔產(chǎn)品，其中87.5%為中低檔智能攝像頭。最終經(jīng)過對(duì)智能攝像頭終端、云平臺(tái)、數(shù)據(jù)傳輸以及移動(dòng)應(yīng)用等4個(gè)安全項(xiàng)目的測(cè)試，40批次產(chǎn)品中存在安全漏洞的就多達(dá)32批次，占比高達(dá)80%，其中數(shù)據(jù)傳輸安全不符合項(xiàng)最多，達(dá)到28批次。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言044055從這四個(gè)方面來講的話，整個(gè)智能攝像頭的信息安全問題是非常嚴(yán)重的，無論是從終端本身還是云平臺(tái)，或者是數(shù)據(jù)傳輸這一塊，都是非常大的一個(gè)隱患。

小標(biāo)題七：智能攝像頭圖像被替換輕而易舉

正文：本來定位為“看家神器”的智能攝像頭，由于大量安全漏洞的存在，卻面臨著個(gè)人隱私被直播的尷尬。記者了解到，智能攝像頭的安全風(fēng)險(xiǎn)帶來的，不僅是使用者家庭隱私的泄露，還可能被不法者利用，欺騙蒙蔽智能攝像頭的使用者，進(jìn)而實(shí)現(xiàn)非法目的。由于存在安全漏洞，智能攝像頭傳輸?shù)囊曨l圖像甚至還可能被替換成延時(shí)圖像，而使用者卻毫不知情。國(guó)內(nèi)一家物聯(lián)網(wǎng)安全研究機(jī)構(gòu)的技術(shù)人員做了一個(gè)演示。

同期：物聯(lián)網(wǎng)安全技術(shù)人員 胡宇真

現(xiàn)在看到的，應(yīng)該是同步的畫面。此時(shí)我們這邊要進(jìn)行一個(gè)攻擊演示，此時(shí)的電腦和攝像頭都是在一個(gè)局域網(wǎng)里面。好，我們進(jìn)行了攻擊演示，你可以看到現(xiàn)在畫面已經(jīng)停止，此時(shí)此刻我們已將筆筒移開了，但是畫面并沒有任何的更改。

演播室：

剛才這個(gè)過程讓我們聯(lián)想到了一些諜戰(zhàn)大片中的情節(jié)，很難想像的是，僅僅是在家里安裝了一個(gè)智能攝像頭就讓類似的情節(jié)離我們這樣的近。那么問題究竟出在了哪兒呢？

小標(biāo)題八：智能攝像頭廠商眾多

正文：記者了解到，作為人工智能科技的一個(gè)縮影，智能攝像頭雖然在近幾年剛剛興起，但卻迅速被市場(chǎng)認(rèn)可，因而短短的幾年時(shí)間，智能攝像頭的品牌已經(jīng)達(dá)到107個(gè)，無品牌的山寨產(chǎn)品更是難以計(jì)數(shù)。而發(fā)展過于迅速帶來的另一面，卻是生產(chǎn)廠家對(duì)信息安全的把控，遠(yuǎn)遠(yuǎn)跟不上市場(chǎng)的發(fā)展速度。記者了解到，目前智能攝像頭產(chǎn)品主要有三大類生產(chǎn)廠商：互聯(lián)網(wǎng)企業(yè)、貼牌廠商和原來的一些安保企業(yè)，但是不同的定位使這些企業(yè)暴露出各自的安全防護(hù)缺陷，進(jìn)而導(dǎo)致信息安全把控能力參差不齊。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心安全工程師 李樂言

最主要原因就是廠商的信息安全能力參差不齊，大量的原生電子廠或者是一些貼牌的廠商生產(chǎn)攝像頭，有些沒有生產(chǎn)攝像頭的實(shí)力，（而且）共用云平臺(tái)，會(huì)導(dǎo)致信息安全的漏洞。還有一些攝像頭（廠商），雖然自己有實(shí)力開發(fā)自己的軟件，但是在控制上沒有嚴(yán)格要求，這樣的不嚴(yán)格的控制會(huì)導(dǎo)致信息安全問題發(fā)生

正文：記者了解到，針對(duì)智能攝像頭這種新興的科技產(chǎn)品，信息安全項(xiàng)目涉及多個(gè)方面，既有產(chǎn)品本身的終端安全，也有云平臺(tái)的安全，以及移動(dòng)應(yīng)用和數(shù)據(jù)傳輸?shù)陌踩?，但是現(xiàn)有的標(biāo)準(zhǔn)僅僅針對(duì)普通的信息系統(tǒng)進(jìn)行規(guī)范，沒有考慮到智能攝像頭這種產(chǎn)品的獨(dú)特屬性。目前的實(shí)際情況是，由于智能攝像頭專有標(biāo)準(zhǔn)的缺失，導(dǎo)致產(chǎn)品進(jìn)入市場(chǎng)之前，缺乏有效的安全測(cè)試和監(jiān)管。

同期：國(guó)家通用電子元器件及產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心高級(jí)工程師 羅衡峰

就是攝像頭能達(dá)到一個(gè)什么樣的安全指標(biāo)，沒做明確的規(guī)范，然后相關(guān)的檢測(cè)標(biāo)準(zhǔn)也沒有，所以檢測(cè)機(jī)構(gòu)也不知道按照什么樣的標(biāo)準(zhǔn)來進(jìn)行檢測(cè).廠家生產(chǎn)時(shí)首先關(guān)注功能的實(shí)現(xiàn)，可能對(duì)信息安全關(guān)注不夠，就是東西能用就行，會(huì)不會(huì)被別人（看到）可能考慮得還不是那么周全

正文：標(biāo)準(zhǔn)缺位，廠商安全把控能力不足，使得智能攝像頭進(jìn)入市場(chǎng)之后，在信息安全方面大多“帶病作業(yè)”，帶來了極大的安全隱患。如何讓智能攝像頭從現(xiàn)有的安全高風(fēng)險(xiǎn)降到低風(fēng)險(xiǎn)，甚至零風(fēng)險(xiǎn)，專家認(rèn)為，除了需要生產(chǎn)廠商自覺提升信息安全把控能力，把攝像頭這種新興智能產(chǎn)品納入到強(qiáng)制標(biāo)準(zhǔn)規(guī)范范疇，讓每一個(gè)智能攝像頭都能經(jīng)過檢測(cè)入市，才是保障信息安全最牢固的一把鎖。

同期：物聯(lián)網(wǎng)安全高級(jí)工程師 盧佐華

就像我們每個(gè)人的家 ，不希望陌生人能隨便進(jìn)入 。我們也不希望別人，能通過智能攝像頭能看到家里的情況。短期來看，需要智能攝像頭的生產(chǎn)廠家，根據(jù)安全問題增加安全控制 ，這樣可能會(huì)增加一些安全成本 ，但對(duì)于消費(fèi)者放心接受產(chǎn)品是有好處的。那更長(zhǎng)遠(yuǎn)地來看呢 ，我們希望考慮盡快制定，相關(guān)高科技設(shè)備的安全標(biāo)準(zhǔn)，用法律標(biāo)準(zhǔn)來規(guī)范 ，這樣才能讓攝像頭，成為消費(fèi)者心中真正的安全看家神器。

演播室：

看家還是引狼入室，目的和結(jié)果發(fā)生了對(duì)立的時(shí)候，問題就變得難以回避，我們期待最大程度享受物聯(lián)網(wǎng)的便利，避免不成熟不完善帶來的風(fēng)險(xiǎn)。好感謝收看我們的節(jié)目，下周同一時(shí)間再見。