近日,韩国某品牌的智能扫地机器人被曝存在安全漏洞,黑客可以远程操控其在用户家中自由行动,窥探个人隐私。家里安装的远程摄像头被远程入侵、将家中隐私画面暴露在网上的消息,早已不是新鲜事。智能家居带来更舒适生活体验的同时,其安全性也越来越让人们担忧。有关专家呼吁,智能家居设备制造业应尽快设立行业标准,有关部门的监管也亟待跟上。
360安全团队的工程师向编者展示他轻松破译远程摄像头和智能门锁的场景,“这是一款常见的家用智能摄像头,目前正在工作中,可以看到手机上显示的实时画面。现在我给大家演示一下如何利用漏洞和弱口令,入侵摄像头并在电脑上播放摄像头所拍摄的画面。”
不到一分钟,他成功入侵摄像头,并将画面传输进笔记本电脑里,“我们看一下本地文件夹,这三个文件就是传输过来的录像数据,打开其中一个,就是摄像头的实时画面。”
随后,这名工程师又给编者演示了一个智能门锁的破译过程,“某厂商的智能门锁支持用门禁卡开锁。当把门锁住后,恶意攻击者尝试使用手机伪造的认证卡认证,显示认证失败。但当手机近距离接触门禁卡,就可以成功复制这张卡,然后把门锁打开。”
编者在QQ搜索栏,输入摄像头破解,跳出众多相关聊天群,随机添加几个,发现里面的内容涉及智能家居中的隐私,时不时会放出一些号称他人家中摄像头拍摄的画面。有网友还主动添加这边为好友,询问是否需要扫描软件,并称这些软件可以攻破摄像头。一名网络卖主还主动给编者发来一段视频,视频教授编者如何利用软件入侵他人家中的摄像头。
在一些QQ群内,大量的IP会被群主作为聚拢人气的“礼物”,分享给网友。在群内,每天都有新增文件,包含三百到五百个IP地址,每份都被下载上百次。
这种软件通过什么原理扫描相关数据,获取IP地址呢?国家互联网应急中心高级工程师高胜解释:“这其实就是一个扫描器,它使用预先设定的账号或弱口令密码,在网上进行扫描,从而可以发现存在漏洞的一些摄像头的IP地址。所使用的弱口令,一般是厂商通用的弱密码,或者是简短连续的数字和字母。”
实际上,不仅是家用摄像头,用于城市管理、交通监测的公共摄像头,也存在利用弱口令就能打开的问题。国家质检总局曾开展智能摄像头质量安全风险监测。风险评估专家认定,这些智能产品的风险等级为高等风险,“高等风险意味着整个产品的信息安全非常严重,目前正在投入使用的这些摄像头都存在较大的信息安全隐患。”
国家质检总局共从市场上采集样品40批次,结果表明,32批次样品存在质量安全隐患。正是这些技术漏洞,才让智能家居设备频遭入侵,其背后是一个逐渐形成的盗卖个人隐私黑色产业链。360信息安全部云安全团队负责人王阳东建议:“应尽快出台智能家居产品的安全规范,进一步加强对市面上在售产品的安全性测试,探索建立企业隐私保护的信用机制。”
家电设备智能化和网络化已成大势所趋,企业应注重研究在智能化道路上如何保护好用户的个人隐私,而不是一味强调甚至夸大功能性。网络安全专家同时提醒用户,在选购智能家居设备时,应尽可能选择大品牌和大厂商生产的正规产品。360信息安全部云安全团队负责人王阳东表示:“对消费者来说,能做的就是设置高强度密码,即日常使用的账号密码强度要高。不要使用通用密码,比如,不要使淘宝、QQ的密码和某些小网站的账号密码相同。如果设置通用密码,一旦小网站安全性比较弱、帐号密码泄漏,可能会影响所有关键的账号密码。”(央广网)