最近，雷鋒網(wǎng)了解到，北京警方花了19天，摧毀了中國首例網(wǎng)上傳播家庭攝像頭破解軟件的犯罪鏈條，抓獲涉案人員 24 名。

事情要追溯到 6月18日，央視新聞頻道稱，有人在 QQ 群中兜售遠程控制家庭攝像頭的破解軟件，有大量人員非法購買后利用攝像頭進行偷窺，嚴重侵犯了公民個人隱私。

央視新聞頻道還稱，大量家庭攝像頭存在的安全問題，只需要通過特定的掃描軟件，就能夠攻破攝像頭的IP 地址，然后將被破解的 IP 地址輸入播放軟件，就可以實現(xiàn)偷窺。

這時，大批吃瓜群眾才知道，原來自己在攝像頭前的一舉一動，很可能成了他人眼中直播真人秀。

當房間空無一人的時候，你有沒有試過自己一個人尬舞？有沒有對著鏡子搔首弄姿，沉浸于自己的美貌？又或者，打開某個小草網(wǎng)站，開始做頭部以下不可描述的事情？

雖然，你只愿享受這片刻的歡愉，但是，很有可能，“You are being watched”。

國家互聯(lián)網(wǎng)應急中心高級工程師高勝稱，這些軟件主要是依靠掃描器，用一些弱口令密碼，做大范圍的掃描。隨后，國家互聯(lián)網(wǎng)應急中心在市場占有率排名前五的智能攝像頭品牌中隨機挑選了兩家，進行了弱口令漏洞分布的全國性監(jiān)測，僅兩個品牌的攝像頭，就有十幾萬個存在著弱口令漏洞。

日前，質(zhì)檢總局發(fā)布攝像頭抽樣檢測報告，結果顯示 40 批次產(chǎn)品中高達32批次存在安全風險。

那么，為何這些網(wǎng)絡攝像頭這么容易被攻破？

造成攝像頭的信息安全風險的原因有很多，但是多存在于數(shù)據(jù)傳輸、弱密碼口令、操作系統(tǒng)/固件更新、敏感信息的本地存儲、身份鑒別、云平臺等環(huán)節(jié)。

下面，雷鋒網(wǎng)宅客頻道（微信ID：letshome）帶你一一解析：

1.數(shù)據(jù)傳輸

根據(jù)質(zhì)檢總局的調(diào)查，28 批次樣品數(shù)據(jù)傳輸未加密。如果在數(shù)據(jù)傳輸?shù)倪^程中進行加密，即使黑客攔截相應的信息也只能看到代碼，看不到實際攝像頭拍下來的影像。

當然，除了對傳輸過程進行加密，對錄像的本地存儲數(shù)據(jù)進行加密也很重要。

2.弱口令 / 密碼

在該報告中，還有 20 批次存在弱口令，或者限制用戶密碼復雜度的問題。

有些產(chǎn)品生產(chǎn)出來以后，會設置非常簡單密碼，比如說“00000”、“123456”等，很容易被黑客破解。如果攝像頭出廠前設定大小寫、以及數(shù)字和字幕結合的密碼設定，會安全很多。

2016 年 10 月，美國互聯(lián)網(wǎng)遭遇前所未有的黑客攻擊，幾乎半個美國的網(wǎng)絡陷入癱瘓。這其中，某款國產(chǎn)的網(wǎng)絡攝像頭的就因為存在弱密碼口令漏洞，而遭受黑客攻擊，最后不得不召回部分產(chǎn)品。

3.操作系統(tǒng) / 固件更新

還有 10 批次樣品在操作系統(tǒng)更新有問題：未提供固件更新修復功能或者固件更新方式不安全。

其實，這個鍋還得中小型廠家背，因為部分廠家不具備在線升級能力，還在使用 U盤，硬盤刷機物理方式升級，根本無法處理應急安全漏洞的問題。因此，廠商需要完整 OTA 在線升級方案，及時修補安全漏洞。

4.敏感信息的本地存儲

16 批次樣品的密碼等敏感數(shù)據(jù)在本地存儲時未采取加密保護措施。各個廠家對本地存儲的理解不一樣，小廠家將本地存儲認定為 用戶自己的行為——你已經(jīng)存儲到本地，用戶自己保存就好，不會采取任何安全防護措施。

最好的做法還是本地以及云端都采用加密存儲的方式。

5.身份鑒別

18 批次樣品在身份鑒別方面未提供登錄失敗處理功能。

有很多廠商在產(chǎn)品生產(chǎn)后沒有對反復登錄頻次進行限制，以至很多黑客可以反復嘗試密碼，用用戶信息或者其他密碼嘗試一直到攻破攝像機。

6.云平臺

10 批次樣品在后端信息系統(tǒng)存在越權漏洞，同一平臺內(nèi)可以查看任意用戶攝像。

由于很多廠商都不具備自己的云服務能力，往往會跟一些性價比較高的第三方云服務提供商合作。一旦云服務商沒有處理好安全問題，被黑客攻破后，所有跟他合作的攝像頭廠商受到影響，造成用戶信息泄露。

一粒老鼠屎，打壞了一鍋油。

安全的做法是：對每一個用戶、每一臺設備都設立獨立密鑰。

雷鋒網(wǎng)注：本文參考了質(zhì)檢總局在 360 智能硬件產(chǎn)業(yè)安全聯(lián)盟大會上發(fā)布的報告、360攝像機產(chǎn)品負責人趙謙的發(fā)言。不久前，360 聯(lián)合數(shù)十家受此次事件影響的網(wǎng)絡攝像頭廠商，共同發(fā)起了智能硬件產(chǎn)業(yè)安全聯(lián)盟，公開了 360 硬件產(chǎn)品的安全標準規(guī)范，以及自家的SMART OS，聯(lián)手防止“一言不合被直播”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。