上網流覽家居網站的時候,
看到自家客廳的截圖是怎樣的一種感受?
關鍵圖還不是自己拍的自己上傳!
震驚!害怕!惶恐...
各種情緒就都上來了!
而最有嫌疑的是,
安裝在客廳、臥室、廚房等多個位置的
遠端監控攝像頭!
據@京華時報:
案例
張女士:客廳照片外泄被掛網上 照片角度和手機APP上畫面一模一樣
今年3月末,北京市海澱區的張女士和老公通過網站購買了一組某知名品牌的遠端監控攝像頭,並安裝在客廳、臥室、廚房等多個位置。
然而,就在今年4月中旬,張女士卻無意間發現自家客廳的截圖被掛在網頁上。張女士稱,在此之前,她和家人從來沒邀請或允許任何網站的人到家中拍照片,“照片的角度就是從掛攝像頭的位置拍攝的,而且畫質、顏色都和手機APP上的即時畫面一模一樣。”
此後,張女士設法與該網站取得了聯繫,對方很快將網上照片刪除。“對方說,圖片不是他們拍攝的,而是從網上下載的,我繼續追問圖片來源,對方拒絕回答。”
“我們懷疑和家裡裝的攝像頭有關。”無奈之下,張女士只能將所有攝像頭和相應的手機APP全部卸載。
實驗
破解代碼可竊取即時畫面 且清晰度高
昨天下午,實驗室安全研究員王先生,為記者演示了通過軟體漏洞獲取已綁定手機使用者攝像頭即時畫面的全過程。記者發現,王先生所使用的工具僅為一台已經聯網的電腦,一部手機以及一段自行編寫的代碼。
演示過程開始前,王先生首先在手機上下載了某品牌家用攝像頭的APP軟體,隨後註冊帳號,但並沒綁定任何攝像頭,此時其頁面中攝像頭清單顯示為空。
△電腦輸入代碼後通過手機觀看
隨後,王先生在電腦軟體上輸入剛剛註冊的帳號、密碼,並在電腦上運行其編寫的代碼。隨著代碼的運行,手機APP頁面上立即出現多個攝像頭監控畫面的預覽圖,且隨著時間的推移數量逐漸增多,隨機點開其中一個,經過短暫載入,攝像頭遠端傳輸的畫面開始播放,且清晰度相當高,甚至可以辨別使用者家電視中播放的電視畫面。除此,在代碼腳本運行過程中,大量用戶註冊時使用的手機號碼也一同顯示在螢幕上。
王先生表示,通過視頻中的不同場景可以明顯看出,這些畫面並不僅限於某一個用戶安裝的攝像頭的拍攝畫面。“如果需要的話,(別有用心的人)可以將所有註冊此APP的使用者資訊全部弄出來,然後根據單個使用者的手機號碼定位到某個特定用戶身上”,從而實施針對性極強的個別使用者資訊竊取活動。而只要輕輕點擊手機APP軟體上的錄製按鈕,盜取的畫面就會輕鬆地保存下來。
結論
八成家用攝頭存在安全性漏洞 可隨時獲取攝像頭圖像、語音資訊
安全研究員王先生告訴記者,從測試結果來看,目前,有關視頻畫面洩露的問題主要集中在攝像頭軟體雲端邏輯漏洞和手機APP軟體漏洞兩個方面,“其他可能導致資訊洩露的問題也存在,但是相比之下數量較少。”
王先生所在的實驗室在對國內市場上銷售的近百個品牌的家用智慧攝像頭進行安全評估測試後發現,近八成產品存在使用者資訊洩露、資料傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬體存在調試介面、可橫向控制等安全缺陷。
△通過手機能看到別人家的攝像內容
據安全工程師劉健皓介紹,這些安全缺陷的存在讓接入網路的攝像頭可以輕易被不法分子控制,隨時獲取攝像頭的圖像和語音資訊,對安裝攝像頭的家庭或公司進行監控甚至網上直播。
劉健皓解釋,從理論上講,通過手機遠端查看到攝像頭內容,必須通過註冊,甚至要求“一對一”。但是,個別品牌的攝像頭與手機進行連接時,並沒有對手機身份進行驗證,這是一個非常嚴重的漏洞。駭客可以通過漏洞,用一個虛擬的(埠)綁定就可以查看數百個攝像頭即時畫面,而出現此漏洞的攝像頭至少有數十款,其中包括了一些著名品牌。
一台已經聯網的電腦,
一部手機以及一段自行編寫的代碼,
就足以直播你的生活現場。
而且寫這種代碼,
多少懂點程式設計就能做。
想想都可怕啊!
網友說:
@affectionflame:從性能成本上考慮大多數攝像頭的碼流傳輸都是不加密的,想截獲太容易了
@米奇佬虎:用互聯網攝像頭就等於直播自己的家庭生活。
@峰-SH:到底是哪幾家啊 曝光一下
@kritikoszyy:美劇裡不就有利用家庭監控系統盜賣嬰兒的嘛
@強大的小泊:立馬拔攝像頭插頭……
作為家用安防的話,用戶可將鏡頭對準大門和窗戶,如果是室內監控,則可以在不用的時候,通過手機用戶端暫時關閉。
安全工程師提醒:
第一,在購買攝像頭時,應對所選品牌進行一些調查,可以通過互聯網查詢與目標品牌相關的帖子或報導,“目的就是找到一個口碑不錯,價格也合適的品牌”。
第二,在使用時,要注意設置一定強度的密碼,及時關注攝像頭軟體的提醒。如果綁定的手機上發現了請求驗證碼的短信,就應該立刻修改密碼。
第三,經常登錄攝像頭進行查看,如發現實際拍攝角度與安裝時發生變化等情況,就需要考慮自己的帳號安全了。同時,要關注所用品牌攝像頭安全方面的消息,如果發現設備漏洞應停止使用,等待廠家更新,並保證所使用的攝像頭軟體是最新版本。