摘 要:家里安装一个摄像头,手机上安装一个移动APP,就可以远程查看家里的情况了,十分方便。现代家庭中,智能摄像头已经日趋普及。通过手机上的移动APP,可以随时查看老人在家的安全状况,保姆带娃的尽责状态以及有没有小偷进入等,不少人把这些智能摄像头看成“家庭安全盾牌”。本文主要分析家用智能摄像头的使用安全风险和应对措施。
关键词:智能摄像头;智能家居;网络安全
中图分类号:TP309.7 文献标识码:A 文章编号:2096-4706(2019)13-0172-03
Analysis of Network Security Problem of Home Smart Camera and
Its Countermeasure
BAO Min
(Nanan District Division of Chongqing Municipal Public Security Bureau,Chongqing 400060,China)
Abstract:With a camera installing at home and an APP on your mobile phone,its very convenient to view the situation at home remotely,smart cameras are more and more popular in modern houses. Through the APP on your phone,things are always visible what happened to the old parents at home,whether the babysitter is responsible enough and whether there are thieves in,and so on,many people regard these smart cameras as “home security shields”. This paper discusses the security problems in using home smart cameras and how to keep the camera personal in technology and law.
Keywords:smart camera;smart home;network security
0 引 言
家用摄像头多为智能摄像头,指不需连接电脑,直接使用Wi-Fi联网,配有移动应用,可以远程查看家里的情况,集语音通话、视频分享、远程操作监控视角、报警等功能于一体的一类产品的总称。智能摄像头由镜头、声音传感器、图像传感器、图像、声音、控制器网络服务器、A/D转换器、外部报警、控制接口等部分组成,是网络视频技术与摄像机相结合的新一代产品。目前,市场上的智能摄像头品牌较多,市场口碑较好的国外品牌如安讯士、D-Link、松下,国内品牌如宁泰、海康威视都还不错。
1 家用摄像头的安全现状及原因分析
1.1 安全现状
2017年6月18日,有媒体报道称,大量家庭摄像头遭入侵,有人借此非法牟利。据调查,目前市面上的很多摄像头极易被破解,他人可以随意偷窥家庭隐私。通过在社交平台搜索相关关键字,找到了许多关于“摄像头破解”的通信群组,一些网民会在群聊中时不时地发送一些短视频,号称这是别人家摄像头记录的画面。根据买家提供的使用教程和IP账号,在播放器中输入IP地址、登录名、密码后果真进入了一个摄像头,画面正对一个客厅。
国家市场监督管理总局产品质量监督司组织开展了智能摄像头质量安全风险监测,共从市场上采集摄像头样品40批次,根据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》等标准要求,对弱口令校验、身份鉴别、访问权控制、操作系统更新、恶意代码安全防护、信息泄露、数据传输加密、本地存储数据保护等项目进行了检测。检测结果显示,32批次样品存在质量安全隐患。最终,经评估风险专家评估认定,受测智能摄像头产品的风险等级为高等风险,很有可能让使用者家庭的室内活动被偷窥甚至直播。这个消息一经发布,不少市民都感到吃惊与愤怒。被民众视为家庭安全盾牌的智能摄像头却沦为隐私泄露漏洞,这让民众的安全体验感严重下降。智能摄像头的漏洞不仅泄露个人隐私和敏感信息,也危害互联网的安全。黑客攻击引发互联网大规模瘫痪的事件在美国和欧洲一些国家时有发生。
1.2 安全隐患背后的原因
根据现在的调查结果和攻击情况来看,智能摄像头目前存在的安全隐患主要有以下几个方面:
(1)弱口令。业内专家发现,黑客破解摄像头主要依靠扫描器,用厂家预设的用户名和密码等弱口令进行大范围的扫描,如user、admin、root之类常见而简短的密码。国家互联网应急中心在市场占有率排名靠前的摄像头品牌中随机挑选了两个品牌,进行弱口令漏洞分布盲测,结果检测出十几万个弱口令漏洞。可以说,口令是智能摄像头安全防护的第一道和最直接的防护措施。弱口令成为危害家庭摄像头安全的头号隐患。
(2)系统安全防护功能缺位。很多家用的智能摄像头由工业摄像头演变而来,相较于安全性,厂商更加注重功能性及用户体验;加之国内市场价格竞争激烈,安全成本对产品的竞争力的影响不可小觑,部分山寨厂商在利润的驱逐下甚至直接忽视安全因素,成为国内智能设备在安全方面乱象层出的主要原因。
南昌大学信息工程学院教授徐子晨指出,每一台智能摄像头都可以被称为是一个电脑,但是因为智能摄像头专注于摄像这个功能,那么它就把很多交换机里面必要的模块去除了,其中一个很重要的部分就是网络安全检测,或者防范攻击防火墙的功能。一般我们家庭网络里面的防火墙又做得比较初级的情况下,黑客是很容易通过扫描IP或广播的方式找到易受攻击的摄像头。
(3)数据传输和存储未进行加密。根据要求,摄像头与接收终端的通信过程应当进行数据加密,并且明文传输。现在的网络服务安全方面,除了用户自己的用户名和密码之外,服务提供商也会对用户的信息和数据再加密一次,防止黑客暴力破解用户密码后直接获取到相关数据。而目前市场上的很多智能摄像头,虽然要求通过扫描二维码等方式绑定手机,摄像头的设备绑定具备了一定的强度;但是因为采用了未加密的数据传输方式,导致存在极高风险的安全漏洞。质检总局对外公布的调查报告显示,40个批次的样品中有28批次数据传输没有加密!因此,即便很多用户设置了复杂的用户名和密码,家用摄像头仍然容易被暴力破解和控制。
杂牌机在这方面几乎是不设防的。对于这样的设备,不管用户使用多么复杂的密码,只要黑客愿意,通过密码库、暴力破解等方法解开密码其实并不困难。但对于数据单独加密的摄像头来说,破解了用户的登录密码也无法获得摄像头的监控权,就拿某个品牌的摄像头来说,用户通过摄像头录制在手机、电脑甚至是云端的视频都会经过严格的加密,而在用户访问摄像机时,后台也会启用动态密码,防止陌生人盗用,并且用户也能够再单独设定一个访问摄像头的密码,可以说做到了全方位的保护。
(4)身份认证机制缺失。有些智能摄像头的移动应用账号认证系统设计不规范,缺乏身份认证机制,随便输入一个手机号都能够注册账号,进而通过这个账号绑定同一品牌下所有的智能摄像头,横向越权查看所绑定摄像头的视频。由于没有身份认证,会给不法分子以可乘之机,而且发现安全问题后,对于侵入行为无法溯源,也很难追究其法律责任。
(5)其他原因。360攻防实验室发布了《国内智能家庭摄像头安全状况评估报告》,报告发现导致智能摄像头存在安全隐患的原因主要集中在:用户隐私泄露、无人机识别机制、多数智能设备可横向控制、未加密数据传输、未对客户端进行安全加固、代码逻辑设计缺陷、存在硬件调试接口、未对启动程序进行保护和没有远程更新机制这9大风险。另外,路由器的安全问题也是家庭网络安全的重要节点。一旦路由器的密码被攻破,对于黑客来说家里所有连接路由器的设备都“唾手可控”。所以,路由器的安全防护也涉及智能摄像头的安全,同样不可小觑。
大家同样要非常注重路由器的安全,一定要修改admin这样的登录密码,还可以关闭无线广播功能,这样其他用户就不能搜到你的路由器了,安全性可以大幅提升。
2 安全防护措施
智能摄像头无疑为我们的生活带来了极大便利,因噎废食大可不必。我们应当如何安全地使用家庭摄像头呢?笔者认为主要可以从以下几个方面来加强防护安全。
首先,选择正规品牌的摄像头产品,切勿购买“三无”产品,并注意相关部门发布的产品质量信息。购买产品前应仔细辨别相关产品是否具备身份认证机制等安全防护程序。同时,在安装的过程中要慎重考虑厂家关于收集、保存和使用用户信息的要求。市场上的智能摄像头质量参差不齐,消费者应综合选择安全防护性高的品牌,从硬件上保证安全防护的底线不被突破。
其次,设置安全密码,及时更新智能摄像头操作系统版本和相关的移动应用,养成定期杀毒的好习惯。专家建议用户在启用智能摄像头前要做的第一件事就是修改密码,而且要定期进行更换。同时及时地更新最新补丁及固件,养成定期查杀病毒的好习惯。
再次,应经常登录摄像头进行查看,摄像头切勿正对卧室、浴室等私密区域,如发现摄像头的角度发生变化,就需留意账号安全。另外,要随时关注手机移动应用软件的提醒。如果绑定的手机收到了验证码短信,应及时修改密码。
最后,应制定家用智能摄像头的安全信息标准,推动厂家提高产品的信息安全防护能力,这才是从根本上解决家用智能摄像头安全的关键所在。目前,我国还没有针对家用智能摄像头的行业标准,呼吁政府部门推动行业协会先行制定行业标准,并尽快制定强制检查制度。在此之前,监管部门应该加强对智能摄像头的质量安全监管和曝光力度。
3 智能摄像头安全法律分析
3.1 现行法律分析
从现行的法律法规来看,并没有针对家庭智能摄像头安全设置专门的法律规定,但在现行的法律框架内还是有法律依据可循。
3.1.1 行政责任
暴力破解智能摄像头账号和密码并在网上公开出售的行为涉嫌非法获取、出售公民个人信息、散布他人隐私,可按照《中华人民共和国治安管理处罚法》第四十二条的规定按情节做出罚款或拘留的处罚决定。
制作、传播和出售从摄像头中获取的隐私视频牟利,可按照《中华人民共和国治安管理处罚法》第六十八条的规定做出罚款或拘留的处罚决定。
3.1.2 刑事责任
(1)侵犯公民个人信息罪。破解获取智能摄像头账号和密码并出售的行为,涉嫌侵犯公民个人信息罪。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,明确账号密码和行踪轨迹属于公民个人信息,非法获取、出售或者提供50条以上即涉嫌构成侵犯公民个人信息罪。根据《中华人民共和国刑法》第253条的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
(2)传播淫秽物品罪和制作、贩卖、传播淫秽物品牟利罪。对于非法侵入家用智能摄像头并截取摄像头中的性行为视频进行制作、传播的,涉嫌构成传播淫秽物品罪;如果传播者因此牟利,将涉嫌构成传播淫秽物品牟利罪。《中华人民共和国刑法》第三百六十三条、第三百六十四条和《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(一)》《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关司法解释,具体明确了上述违法犯罪行为的构成要素。
3.2 可行性法律分析
对于守护智能摄像头安全的第一道防线的摄像头生产厂家和销售商家,国家相关部门应该尽快制定出台相应的物联网安全技术标准和强制性要求,明确智能摄像头必须具备健全的身份识别模块、系统安全防护功能、存储和传输数据加密功能等基本安全措施,以便进行安全测评和认证。同时,制定相应的法律法规,对于明显不符合安全标准的产品,责令停止生产和销售;对产品存在的安全缺陷和漏洞等风险未及时采取补救措施或未按照规定及时告知消费者和相关部门的,由主管部门对涉事企业采取责令改正、责令召回、罚款、停业整顿或吊销营业执照等行政处罚措施。
4 结 论
智能摄像头作为防卫网络安全的重要组成部分,其安全至关重要。综上所述,鉴于现行法律法规只有笼统规定,行政管理部门无法对智能摄像头的安全进行有效监管;同时,现行的法律法规也无法为行政管理部门和司法部门提供执法依据。尽快制定和出台针对智能摄像头的安全技术标准和专门性法律法规,明确行政管理部门的管理职能和司法机关的执法依据已经迫在眉睫。
参考文献:
[1] 李俊艳.电信运营商业务平台安全防护体系规划 [J].信息技术与信息化,2017(Z1):18-21.
[2] 张国华.主机数据泄露防护技术研究 [D].南京:南京大学,2012.
[3] 张文礼.质检总局发布智能摄像头质量安全风险警示 [N].中国质量报,2017-06-19(第2版).
[4] 冯松龄.八成智能摄像头样品存安全隐患 [N].中国消费者报,2017-06-21(第1版).
[5] 李晓磊.“智能摄像头”破解调查:偷窥隐私已成利益链 [J].法治与社会,2017(9):62-64.
作者简介:鲍敏(1982-),女,汉族,山东人,警务技术一级主管,法律硕士,研究方向:民商法方向。
