攝像頭風(fēng)波再敲物聯(lián)網(wǎng)安全警鐘

　　隨著科技發(fā)展,諸如智能攝像頭這樣的設(shè)備應(yīng)用將越來(lái)越廣泛。在智能攝像頭等設(shè)備使用過(guò)程中,如何防范被破解、如何確保安全?記者采訪了業(yè)內(nèi)有關(guān)專(zhuān)家。

　　攝像頭安全風(fēng)險(xiǎn)來(lái)自多方面

　　家用智能攝像頭被破解,繼而導(dǎo)致攝像頭遭惡意操控,甚至造成用戶隱私泄露,這些問(wèn)題引發(fā)業(yè)界關(guān)注。

　　家用智能攝像頭被破解的安全風(fēng)險(xiǎn)究竟來(lái)自何處?是設(shè)備自身存在安全漏洞抑或其他原因?近日,在北京召開(kāi)的智能硬件產(chǎn)業(yè)安全峰會(huì)上,針對(duì)于國(guó)家質(zhì)檢總局發(fā)布的警示,360產(chǎn)品總監(jiān)趙謙做了詳細(xì)解釋。

　　“質(zhì)檢總局一共進(jìn)行40批次攝像頭抽檢,其中80%攝像頭存在安全漏洞,其實(shí)這個(gè)數(shù)據(jù)挺可怕的,攝像頭產(chǎn)品對(duì)隱私性和安全性的要求非常高。”趙謙說(shuō),攝像頭的信息風(fēng)險(xiǎn)來(lái)自6個(gè)方面,分別是數(shù)據(jù)傳輸、弱口令密碼安全、操作系統(tǒng)固件更新、敏感信息本地存儲(chǔ)、身份鑒別、后端系統(tǒng)云平臺(tái)的安全。這一次質(zhì)檢總局查出來(lái)最嚴(yán)重的問(wèn)題是,28批次樣品數(shù)據(jù)傳輸未加密,很多廠家不具備數(shù)據(jù)傳輸加密技術(shù),所以根本不可能對(duì)數(shù)據(jù)進(jìn)行加密。

　　“另外,在抽檢中,20批次產(chǎn)品存在初始密碼弱口令問(wèn)題,或者限制用戶密碼復(fù)雜度。有些產(chǎn)品生產(chǎn)出來(lái)以后會(huì)設(shè)置非常簡(jiǎn)單密碼,比如說(shuō)00000、123456,這很容易被用戶和黑客破解。”趙謙說(shuō),還有18批次樣品在身份鑒別方面未提供登錄失敗處理功能。我們有很多廠商在生產(chǎn)出產(chǎn)品之后沒(méi)有對(duì)反復(fù)登錄頻次進(jìn)行限制,以至于有很多黑客可以反復(fù)嘗試密碼,使用用戶信息或者其他密碼嘗試一直到攻破攝像頭。

　　“在抽檢中,還有16批次樣品的密碼敏感信息等數(shù)據(jù)在本地存儲(chǔ)時(shí)未采取加密保護(hù)措施。對(duì)于本地存儲(chǔ),各個(gè)廠家的理解不太一樣。小廠家認(rèn)為本地存儲(chǔ)是用戶自己的行為,不會(huì)采取任何安全防護(hù)措施。”趙謙說(shuō),10批次樣品存在操作系統(tǒng)更新問(wèn)題,即未提供固件更新修復(fù)功能或者固件更新方式不安全。很多中小型廠家是不具備在線升級(jí)能力,還在用U盤(pán)、硬盤(pán)刷機(jī)的物理方式升級(jí),這種方式根本沒(méi)有辦法處理應(yīng)急安全漏洞的問(wèn)題。

　　“10批次樣品在后端信息系統(tǒng)存在越權(quán)漏洞,同一平臺(tái)內(nèi)可以查看任意用戶攝像。從這一點(diǎn)上說(shuō),市面上七八成廠商都不具備自己的云服務(wù)能力,大多與云服務(wù)提供商合作。如果合作的云服務(wù)提供商沒(méi)有處理好安全問(wèn)題,一旦被黑客攻破,那么攝像頭用戶的信息就面臨泄露的風(fēng)險(xiǎn),這是非常危險(xiǎn)的。”趙謙說(shuō)。

　　“攝像頭的主要功能是設(shè)置影像資料,若在公共場(chǎng)合并不會(huì)造成很大影響;但攝像頭應(yīng)用在家里或者其他私密空間,攝像頭被非法控制,就可能非法拍攝圖像和影像資料,不法分子可能利用這些資料進(jìn)行勒索獲取,獲取錢(qián)財(cái);也可能把視頻資料上傳到網(wǎng)絡(luò)上,對(duì)個(gè)人隱私造成侵害,對(duì)個(gè)人的精神也會(huì)造成消極影響。”北京師范大學(xué)法學(xué)院教授、亞太網(wǎng)絡(luò)法律研究中心主任劉德良說(shuō)。

　　有企業(yè)竟對(duì)安全問(wèn)題不知情

　　智能攝像頭安全方面出現(xiàn)的問(wèn)題,在某種程度上是當(dāng)前物聯(lián)網(wǎng)安全問(wèn)題的縮影。

　　“智能攝像頭的安全問(wèn)題屬于物聯(lián)網(wǎng)時(shí)代存在的基本問(wèn)題,終端、傳感器、控制器和端點(diǎn),都可能會(huì)被非法控制。不法分子通過(guò)對(duì)攝像頭進(jìn)行控制錄制視頻,并且對(duì)用戶進(jìn)行勒索、騙取錢(qián)財(cái)?shù)确欠ɑ顒?dòng)。遠(yuǎn)程視頻聊天軟件也可能存在隱患。”劉德良說(shuō)。

　　阿里云安全專(zhuān)家鄔怡認(rèn)為,前幾年,物聯(lián)網(wǎng)的概念離普通用戶還很遠(yuǎn),隨著科技不斷發(fā)展,現(xiàn)在很多物聯(lián)網(wǎng)設(shè)備已經(jīng)深入人們生活的方方面面,包括平時(shí)使用的手環(huán)、家用路由器、攝像機(jī)、攝像頭等,還有很多低功耗的傳感器設(shè)備,都在人們生活中非常常見(jiàn)。“到2020年,可能會(huì)有一百多億甚至兩百億的設(shè)備連接到互聯(lián)網(wǎng)上,但是這些設(shè)備的安全有沒(méi)有人在意呢”?

　　“其實(shí)現(xiàn)在已經(jīng)看到了一些因?yàn)榘踩珕?wèn)題造成的事件。比如,一些攝像頭廠商的攝像頭被黑客控制,甚至還包括一些黑客入侵到家用攝像頭之中獲取用戶的隱私信息。這些安全事件與人們?nèi)粘Ｉ钕⑾⑾嚓P(guān)。出現(xiàn)這些問(wèn)題的原因是什么?一個(gè)很重要的原因在于,物聯(lián)網(wǎng)屬于新型產(chǎn)業(yè),很多廠商以前都是做硬件設(shè)備的,而以前的硬件設(shè)備不聯(lián)網(wǎng),但現(xiàn)在隨著物聯(lián)網(wǎng)的發(fā)展,所有設(shè)備都連接到了互聯(lián)網(wǎng)上,這就是所謂萬(wàn)物互聯(lián)的時(shí)代。這時(shí)候,以前沒(méi)有暴露出來(lái)的安全問(wèn)題就逐漸暴露出來(lái)。比如,有的廠商在產(chǎn)品設(shè)計(jì)之初沒(méi)有考慮安全問(wèn)題,甚至很多設(shè)備還內(nèi)置了弱口令,或者存在一些能被黑客直接繞過(guò)訪問(wèn)的后門(mén),這就造成物聯(lián)網(wǎng)上的一些設(shè)備能夠輕易被黑客控制,這都屬于物聯(lián)網(wǎng)安全問(wèn)題。此外,有些廠商對(duì)物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題并不知情,其自身也沒(méi)有能力及時(shí)感知自己的設(shè)備是否會(huì)被黑客利用。”鄔怡說(shuō)。

　　加大處罰力度應(yīng)對(duì)技術(shù)挑戰(zhàn)

　　智能攝像頭被認(rèn)為具有廣泛應(yīng)有前景。

　　“包括道路監(jiān)控系統(tǒng)、圖像識(shí)別、無(wú)人駕駛車(chē)輛、智能城市等,這些都需要對(duì)圖像進(jìn)行處理。技術(shù)本身是中立的,我們需要防止技術(shù)被非法利用、濫用。”劉德良說(shuō)。

　　鄔怡建議,對(duì)于普通人來(lái)說(shuō),在日常生活中要注意自己的設(shè)備是不是有異常情況發(fā)生,是不是造成了家庭網(wǎng)絡(luò)的擁塞等,這些問(wèn)題是可以注意到的。對(duì)于物聯(lián)網(wǎng)廠商而言,要重視企業(yè)安全問(wèn)題,在產(chǎn)品設(shè)計(jì)開(kāi)發(fā)階段就要考慮安全方面的一些機(jī)制,并且保證在產(chǎn)品出廠后也能監(jiān)控產(chǎn)品是否存在安全問(wèn)題,并且能夠及時(shí)修復(fù)漏洞。

　　劉德良認(rèn)為,從技術(shù)方面來(lái)說(shuō),物聯(lián)網(wǎng)也需要防火墻積極防御,可以借鑒傳統(tǒng)的互聯(lián)網(wǎng)安全保護(hù)業(yè)務(wù)。當(dāng)面臨的問(wèn)題更多更廣泛時(shí),可以建立可信的系統(tǒng),建立白名單、黑名單制度。從法律層面來(lái)說(shuō),要做好防范措施,盡管技術(shù)存在博弈,但在法律層面上要加大處罰力度。國(guó)際社會(huì)應(yīng)該攜手合作,從法律上進(jìn)行嚴(yán)格控制和打擊。

　　從法律層面應(yīng)該如何維護(hù)好物聯(lián)網(wǎng)安全?

　　劉德良認(rèn)為,有些法律需要擴(kuò)大解釋范圍,例如刑法第二百八十六條等。要進(jìn)行條款的更改,特別是名詞的范圍要進(jìn)行拓展,現(xiàn)行關(guān)于網(wǎng)絡(luò)犯罪的條款進(jìn)行拓展即可。不過(guò),隨著社會(huì)發(fā)展、科技進(jìn)步,我們以后肯定會(huì)面臨更加嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題,所以做好防范措施是有必要的。

　　“現(xiàn)行的法律是有的,對(duì)于未來(lái)物聯(lián)網(wǎng)的發(fā)展,我們只要對(duì)有關(guān)的法律如刑法第二百八十五條、第二百八十六條、第二百八十七條做一些修改,擴(kuò)大一些解釋,那么現(xiàn)有的規(guī)定都可以適用。如果從民事侵權(quán)責(zé)任法方面來(lái)講,應(yīng)該要求黑色產(chǎn)業(yè)鏈上任何一個(gè)主體承擔(dān)連帶責(zé)任。而現(xiàn)行的侵權(quán)責(zé)任法只是讓侵權(quán)主體承擔(dān)責(zé)任,并沒(méi)有要求承擔(dān)連帶責(zé)任一說(shuō)。”劉德良說(shuō)。