随着科技发展,诸如智能摄像头这样的设备应用将越来越广泛。在智能摄像头等设备使用过程中,如何防范被破解、如何确保安全?
摄像头安全风险来自多方面
家用智能摄像头被破解,继而导致摄像头遭恶意操控,甚至造成用户隐私泄露,这些问题引发业界关注。
家用智能摄像头被破解的安全风险究竟来自何处?是设备自身存在安全漏洞抑或其他原因?近日,在北京召开的智能硬件产业安全峰会上,针对于国家质检总局发布的警示,360产品总监赵谦做了详细解释。
“质检总局一共进行40批次摄像头抽检,其中80%摄像头存在安全漏洞,其实这个数据挺可怕的,摄像头产品对隐私性和安全性的要求非常高。”赵谦说,摄像头的信息风险来自6个方面,分别是数据传输、弱口令密码安全、操作系统固件更新、敏感信息本地存储、身份鉴别、后端系统云平台的安全。这一次质检总局查出来最严重的问题是,28批次样品数据传输未加密,很多厂家不具备数据传输加密技术,所以根本不可能对数据进行加密。
“另外,在抽检中,20批次产品存在初始密码弱口令问题,或者限制用户密码复杂度。有些产品生产出来以后会设置非常简单密码,比如说00000、123456,这很容易被用户和黑客破解。”赵谦说,还有18批次样品在身份鉴别方面未提供登录失败处理功能。我们有很多厂商在生产出产品之后没有对反复登录频次进行限制,以至于有很多黑客可以反复尝试密码,使用用户信息或者其他密码尝试一直到攻破摄像头。
“在抽检中,还有16批次样品的密码敏感信息等数据在本地存储时未采取加密保护措施。对于本地存储,各个厂家的理解不太一样。小厂家认为本地存储是用户自己的行为,不会采取任何安全防护措施。”赵谦说,10批次样品存在操作系统更新问题,即未提供固件更新修复功能或者固件更新方式不安全。很多中小型厂家是不具备在线升级能力,还在用U盘、硬盘刷机的物理方式升级,这种方式根本没有办法处理应急安全漏洞的问题。
“10批次样品在后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像。从这一点上说,市面上七八成厂商都不具备自己的云服务能力,大多与云服务提供商合作。如果合作的云服务提供商没有处理好安全问题,一旦被黑客攻破,那么摄像头用户的信息就面临泄露的风险,这是非常危险的。”赵谦说。
“摄像头的主要功能是设置影像资料,若在公共场合并不会造成很大影响;但摄像头应用在家里或者其他私密空间,摄像头被非法控制,就可能非法拍摄图像和影像资料,不法分子可能利用这些资料进行勒索获取,获取钱财;也可能把视频资料上传到网络上,对个人隐私造成侵害,对个人的精神也会造成消极影响。”北京师范大学法学院教授、亚太网络法律研究中心主任刘德良说。
有企业竟对安全问题不知情
智能摄像头安全方面出现的问题,在某种程度上是当前物联网安全问题的缩影。
“智能摄像头的安全问题属于物联网时代存在的基本问题,终端、传感器、控制器和端点,都可能会被非法控制。不法分子通过对摄像头进行控制录制视频,并且对用户进行勒索、骗取钱财等非法活动。远程视频聊天软件也可能存在隐患。”刘德良说。
阿里云安全专家邬怡认为,前几年,物联网的概念离普通用户还很远,随着科技不断发展,现在很多物联网设备已经深入人们生活的方方面面,包括平时使用的手环、家用路由器、摄像机、摄像头等,还有很多低功耗的传感器设备,都在人们生活中非常常见。“到2020年,可能会有一百多亿甚至两百亿的设备连接到互联网上,但是这些设备的安全有没有人在意呢”?
“其实现在已经看到了一些因为安全问题造成的事件。比如,一些摄像头厂商的摄像头被黑客控制,甚至还包括一些黑客入侵到家用摄像头之中获取用户的隐私信息。这些安全事件与人们日常生活息息相关。出现这些问题的原因是什么?一个很重要的原因在于,物联网属于新型产业,很多厂商以前都是做硬件设备的,而以前的硬件设备不联网,但现在随着物联网的发展,所有设备都连接到了互联网上,这就是所谓万物互联的时代。这时候,以前没有暴露出来的安全问题就逐渐暴露出来。比如,有的厂商在产品设计之初没有考虑安全问题,甚至很多设备还内置了弱口令,或者存在一些能被黑客直接绕过访问的后门,这就造成物联网上的一些设备能够轻易被黑客控制,这都属于物联网安全问题。此外,有些厂商对物联网设备的安全问题并不知情,其自身也没有能力及时感知自己的设备是否会被黑客利用。”邬怡说。
加大处罚力度应对技术挑战
智能摄像头被认为具有广泛应有前景。
“包括道路监控系统、图像识别、无人驾驶车辆、智能城市等,这些都需要对图像进行处理。技术本身是中立的,我们需要防止技术被非法利用、滥用。”刘德良说。
邬怡建议,对于普通人来说,在日常生活中要注意自己的设备是不是有异常情况发生,是不是造成了家庭网络的拥塞等,这些问题是可以注意到的。对于物联网厂商而言,要重视企业安全问题,在产品设计开发阶段就要考虑安全方面的一些机制,并且保证在产品出厂后也能监控产品是否存在安全问题,并且能够及时修复漏洞。
刘德良认为,从技术方面来说,物联网也需要防火墙积极防御,可以借鉴传统的互联网安全保护业务。当面临的问题更多更广泛时,可以建立可信的系统,建立白名单、黑名单制度。从法律层面来说,要做好防范措施,尽管技术存在博弈,但在法律层面上要加大处罚力度。国际社会应该携手合作,从法律上进行严格控制和打击。
从法律层面应该如何维护好物联网安全?
刘德良认为,有些法律需要扩大解释范围,例如刑法第二百八十六条等。要进行条款的更改,特别是名词的范围要进行拓展,现行关于网络犯罪的条款进行拓展即可。不过,随着社会发展、科技进步,我们以后肯定会面临更加严峻的网络安全问题,所以做好防范措施是有必要的。
“现行的法律是有的,对于未来物联网的发展,我们只要对有关的法律如刑法第二百八十五条、第二百八十六条、第二百八十七条做一些修改,扩大一些解释,那么现有的规定都可以适用。如果从民事侵权责任法方面来讲,应该要求黑色产业链上任何一个主体承担连带责任。而现行的侵权责任法只是让侵权主体承担责任,并没有要求承担连带责任一说。”刘德良说。
本文转自d1net(转载)