只要在家里装上一个小小的智能摄像头,就可以在手机上随时查看家里的画面。老人独自在家是否安全,保姆带孩子是否尽责,家里有没有进小偷,都能随时掌握。听上去,这样的摄像头堪称是“看家神器”。但记者调查发现,一些本来用做安防用途的“神器”却存在安全缺陷,很可能看不了家,反而让别人看到了你家,让家变得不安全。
主人不在家,宠物狗自己打开家门,走了出去——一位网友的智能家用摄像机记录下了一段视频,这段视频帮助她迅速找回了宠物狗。这类智能家用摄像机是一种现在比较流行的智能安防设备,被人称为“看家宝”、“看家神器”,许多人用它来看护老人、孩子,监看宠物甚至店铺。比如,外出上班的儿子为照看独自在家的老人安装了智能摄像头,它可以在手机上显示,及时告知老人在家里的状况,当家里出现异常时,手机还能接到报警提示。
近来,这种智能家用摄像机的销售量和使用者数量持续高速增长。然而,2016年5月,一家研究机构发布的智能家庭摄像头安全评估报告显示,市场上销量较好、评价较好的10种品牌家用摄像头,近八成存在安全缺陷。本来用于家庭安防的智能设备存在网络安全漏洞,这会是什么样的情况呢?
某机构实验室主任刘健皓告诉记者:“如果摄像头有漏洞的话,很有可能就被攻击者利用,他可以在你没有感觉的情况下看到你家里的内容,并且能够对你家里的内容进行录音,甚至直播你的生活。”
研究机构的专家演示了他所说的最严重的安全漏洞及隐患。他使用一个品牌摄像头,并下载了与这个摄像头对应的手机APP。从业务流程上讲,使用者只能用真实的手机号成功注册账户后,通过了身份验证绑定摄像头,才能在APP上看到摄像头拍摄的画面,但实际情况却并非如此,甚至用一个不存在的手机号都可以注册成功。
由于手机APP账号认证系统设计不安全,没有身份认证机制,使用一个并不存在的手机号竟然成功注册账号,进而通过这个伪造账号,利用安全漏洞,绑定同一品牌下所有的智能摄像头,横向越权看到这些摄像头拍摄的视频。所有使用者的视频都会被分别暴露出来,这极有可能造成家庭信息、个人隐私的泄露,影响生活安宁、危害家庭人身财产安全。
刘健皓说:“这里头包括录音说话照相都可以,这是实时的一个画面,同时我在通过它的漏洞去看到它内容的前提下,我还可以通过漏洞把这些证据全部销毁。如果说连手机号的真实性都不去做验证的话,即便是出现了安全问题,你能够找到、能够发现这些问题,但是你没有办法溯源(找到制造危险的人),这个危害也是非常大的。”
由于没有身份认证,会给不法分子以可乘之机,而且也很难追究其法律责任。当时,这份报告引起多家媒体的关注,也被提交给厂商,厂商对产品进行了修复。那么,几个月过去了,市场上智能家用摄像头的安全状况又怎样呢?
记者从一家网站购买了一种品牌的两个智能家用摄像头请研究机构检测。这个品牌曾被检测过,并且有较多消费者使用。
经专家的同事小杨同意,两个摄像头分别安装在他的客厅和卧室。接下来,专家回到办公室想要看安装在小杨家的摄像头拍摄的画面,是否能够实现呢?刘健皓说,他不需要密码就可以登录到客户端,并且看到里面的内容。
本来,密码相当于给账户加了一道保护锁,小杨也已经设置了相对复杂的密码,但专家依然可以利用安全漏洞轻易打开这道锁,进入了对方账户,小杨家的场景瞬间出现在他的手机上,不仅如此,还可以收录所看到的内容。而对于这一切,小杨手机APP上全然没有反应。
从这次测试来看,之前存在的利用安全漏洞横向越权看到同一品牌下所有摄像头拍摄的视频,这个问题有所改善,但仍有其他方面的漏洞比如注册时仍然不需身份认证、可以绕过设置的密码等等,这些漏洞依然令人担忧,如被利用,很有可能会给不法分子带来可乘之机。
那么,通过智能家用摄像头窃取他人隐私会触碰哪些法律红线?应承担什么法律责任?中国人民大学法学院教授石佳友认为:“如果确实是情节非常严重,构成了刑法处罚的标准,要按照刑法的修正案增设的关于侵害个人信息方面犯罪的条文,去追究刑事责任,也可能引发民事责任,如果造成受害人的财产损失或者是一般意义上的人身的伤害,轻微的人身伤害,这个在民法上是要承担赔偿责任的。”
智能摄像头的漏洞不仅仅会泄露个人隐私和敏感信息,也危害到互联网的安全。不久前,国内外多家媒体报道了美国和欧洲一些国家因黑客攻击引发互联网大规模瘫痪事件。在这次事件中,智能摄像头漏洞被黑客利用,转而变成攻击互联网的武器。看来,智能摄像头安全漏洞问题是一个在多个国家存在的、不容忽视的问题。
据不完全统计,目前我国市场上智能家用摄像头大约有100多个品牌,其中,有10个品牌的产品被检测出不同程度的安全漏洞,其余90多个品牌的安全性还需要进行更深入的调研和评估。
智能摄像头除了家用之外,还有一类功能更为强大、使用范围更为广泛,被专家称为企业级智能摄像头。
企业级智能摄像头分布在银行、医院、车站、码头、道路等公共场所和公共基础设施管理机构,用来监看机构安全运行、交通状况、环境监测、城乡用水系统,甚至被视为“天眼”,用来监看维护公共安全。它们大多是在封闭的局域网环境中使用的,相对来讲比较安全,但是,研究人员还是发现有些摄像头也存在可以渗透到局域网的安全漏洞。更令人吃惊的是,安全漏洞甚至会把安装摄像头的精确位置暴露无遗。
用户详细而准确的信息外泄,极有可能给相关机构、用户带来难以预料的影响和后果。同时,由于黑客或侵入者操控智能摄像头,报警系统可能失灵,导致安防功能失效或者误报。
如果报警系统失效这样的事情发生在公共基础设施运行监控系统,后果更是不堪设想。国家信息中心专家委员会副主任宁家骏指出:“比如说在环保这个领域,监测一些企业排污,或者是在监测供水系统,不能允许它有一点闪失,因为特别是像城市里的供水系统,一旦发现它不能够正常地工作,它的可用性不够,那么它就失掉了监护的责任。”
目前我国尚未发生由此导致的大规模公共事件,但是在其他国家类似事件曾一再发生。在一些事件中,犯罪分子曾把有漏洞的智能摄像头作为跳板,利用它进一步攻击目标。“比如在澳大利亚在加拿大都发生过,水厂的供水系统,由于有黑客入侵,就把本来是给城市供清水的给改成供污水了。”宁家骏告诉记者。
目前,智能摄像头在我国运用越来越广泛,市场也越来越大。如何快速发现安全漏洞、监控安全风险是政府管理部门、厂商迫切需要解决的。美国互联网遭遇大规模瘫痪后不久,美国国土安全部于11月15日出台相关安全指导原则,向相关开发商、生产商、管理者及个人提供了一组安全规则建议。如在设计开发阶段考虑安全问题;加强安全更新和漏洞管理,其中包括制订一个漏洞协调披露和处理政策;建立一套公认的安全操作方法、谨慎接入互联网等。
那么,我们又该如何从整体上提高智能摄像头产品的安全性与可靠性呢?刘健皓认为,最迫切需要做的是呼吁政府和各界去建立一个智能硬件安全标准,让这个标准去约束厂商,提高产品的信息安全能力。石佳友表示:“制定行业的标准,而且这种标准一定要确保是强制性标准,这个不能由厂家自己去选择愿不愿意使用,就是应该强行推行的,一定是从保护消费者人身财产安全角度去制定强制性标准。”
对于制定这个强制性行业标准的原则和它所应发挥的作用,专家也提出了具体建议。刘健皓说:“首先保证产品设计出来的时候,它的自身是安全的,保障整个产品在用户手上去做运营的时候能够及时发现攻击,能够找到攻击者,并且用法律手段来制裁这个攻击者;第二个原则就是我发现这一次攻击以后,下一次你再用相同的攻击方法,是不能够利用成功的。”宁家骏认为,要加强对产品的评测,同时也要考虑把产品的安全纳入到重要的基础设施信息系统的安全保障体系之中。
利用智能摄像头看家护院,构建新型的安全网是好事,但是,安全的网得要扎得够紧,才能避免被人利用。当然,目前我们所检测到的、存在安全漏洞的智能摄像头只是个别产品,并不能代表整个行业,但也足够让整个行业警惕,如果漏洞不堵住,危险就会如影相随。