隐私泄露严重 智能家居设备应尽快设立行业标准
- 来源:央广网
- 2017/12/13 18:15:0938613
【中国安防展览网 企业关注】近日,韩国某品牌的智能扫地机器人被曝存在安全漏洞,黑客可以远程操控其在用户家中自由行动,窥探个人隐私。家里安装的远程摄像头被远程入侵、将家中隐私画面暴露在网上的消息,早已不是新鲜事。智能家居带来更舒适生活体验的同时,其安全性也越来越让人们担忧。有关专家呼吁,智能家居设备制造业应尽快设立行业标准,有关部门的监管也亟待跟上。
360安全团队的工程师展示他轻松破译远程摄像头和智能门锁的场景,“这是一款常见的家用智能摄像头,目前正在工作中,可以看到手机上显示的实时画面。现在我给大家演示一下如何利用漏洞和弱口令,入侵摄像头并在电脑上播放摄像头所拍摄的画面。”
不到一分钟,他成功入侵摄像头,并将画面传输进笔记本电脑里,“我们看一下本地文件夹,这三个文件就是传输过来的录像数据,打开其中一个,就是摄像头的实时画面。”
随后,这名工程师又给记者演示了一个智能门锁的破译过程,“某厂商的智能门锁支持用门禁卡开锁。当把门锁住后,恶意攻击者尝试使用手机伪造的认证卡认证,显示认证失败。但当手机近距离接触门禁卡,就可以成功复制这张卡,然后把门锁打开。”
在QQ搜索栏,输入摄像头破解,跳出众多相关聊天群,随机添加几个,发现里面的内容涉及智能家居中的隐私,时不时会放出一些号称他人家中摄像头拍摄的画面。有网友还主动添加记者为好友,询问是否需要扫描软件,并称这些软件可以攻破摄像头。一名网络卖主还主动给记者发来一段视频,视频教授记者如何利用软件入侵他人家中的摄像头。
在一些Q*内,大量的IP会被群主作为聚拢人气的“礼物”,分享给网友。在群内,每天都有新增文件,包含三百到五百个IP地址,每份都被下载上百次。
这种软件通过什么原理扫描相关数据,获取IP地址呢?国家互联网应急中心工程师高胜解释:“这其实就是一个扫描器,它使用预先设定的账号或弱口令密码,在网上进行扫描,从而可以发现存在漏洞的一些摄像头的IP地址。所使用的弱口令,一般是厂商通用的弱密码,或者是简短连续的数字和字母。”
实际上,不仅是家用摄像头,用于城市管理、交通监测的公共摄像头,也存在利用弱口令就能打开的问题。国家质检总局曾开展智能摄像头质量安全风险监测。风险评估专家认定,这些智能产品的风险等级为高等风险,“高等风险意味着整个产品的信息安全非常严重,目前正在投入使用的这些摄像头都存在较大的信息安全隐患。”
国家质检总局共从市场上采集样品40批次,结果表明,32批次样品存在质量安全隐患。正是这些技术漏洞,才让智能家居设备频遭入侵,其背后是一个逐渐形成的盗卖个人隐私黑色产业链。360信息安全部云安全团队负责人王阳东建议:“应尽快出台智能家居产品的安全规范,进一步加强对市面上在售产品的安全性测试,探索建立企业隐私保护的信用机制。”
家电设备智能化和网络化已成大势所趋,企业应注重研究在智能化道路上如何保护好用户的个人隐私,而不是一味强调甚至夸大功能性。网络安全专家同时提醒用户,在选购智能家居设备时,应尽可能选择*和大厂商生产的正规产品。360信息安全部云安全团队负责人王阳东表示:“对消费者来说,能做的就是设置高强度密码,即日常使用的账号密码强度要高。不要使用通用密码,比如,不要使淘宝、QQ的密码和某些小网站的账号密码相同。如果设置通用密码,一旦小网站安全性比较弱、帐号密码泄漏,可能会影响所有关键的账号密码。”(原标题:智能家居成"隐私间谍" 专家:需出台安全规范)