【中國安防展覽網 企業關注】隨著科技發展�,諸如智能攝像頭這樣的設備應用將越來越廣泛。在智能攝像頭等設備使用過程中���,如何防范被破解、如何確保安全�?
攝像頭安全風險來自多方面
家用智能攝像頭被破解���,繼而導致攝像頭遭惡意操控,甚至造成用戶隱私泄露,這些問題引發業界關注���。
家用智能攝像頭被破解的安全風險究竟來自何處?是設備自身存在安全漏洞抑或其他原因����?近日�,在北京召開的智能硬件產業安全峰會上���,針對于國家質檢總局發布的警示�����,360產品總監趙謙做了詳細解釋���。
“質檢總局一共進行40批次攝像頭抽檢�����,其中80%攝像頭存在安全漏洞,其實這個數據挺可怕的,攝像頭產品對隱私性和安全性的要求非常高。”趙謙說����,攝像頭的信息風險來自6個方面�,分別是數據傳輸����、弱口令密碼安全、操作系統固件更新����、敏感信息本地存儲、身份鑒別�����、后端系統云平臺的安全。這一次質檢總局查出來最嚴重的問題是,28批次樣品數據傳輸未加密�����,很多廠家不具備數據傳輸加密技術�,所以根本不可能對數據進行加密。
“另外,在抽檢中,20批次產品存在初始密碼弱口令問題,或者限制用戶密碼復雜度。有些產品生產出來以后會設置非常簡單密碼��,比如說00000����、123456,這很容易被用戶和黑客破解。”趙謙說�,還有18批次樣品在身份鑒別方面未提供登錄失敗處理功能�����。我們有很多廠商在生產出產品之后沒有對反復登錄頻次進行限制,以至于有很多黑客可以反復嘗試密碼,使用用戶信息或者其他密碼嘗試一直到攻破攝像頭����。
“在抽檢中�����,還有16批次樣品的密碼敏感信息等數據在本地存儲時未采取加密保護措施。對于本地存儲�����,各個廠家的理解不太一樣����。小廠家認為本地存儲是用戶自己的行為��,不會采取任何安全防護措施�����。”趙謙說,10批次樣品存在操作系統更新問題�,即未提供固件更新修復功能或者固件更新方式不安全���。很多中小型廠家是不具備在線升級能力��,還在用U盤、硬盤刷機的物理方式升級����,這種方式根本沒有辦法處理應急安全漏洞的問題�。
“10批次樣品在后端信息系統存在越權漏洞����,同一平臺內可以查看任意用戶攝像。從這一點上說��,市面上七八成廠商都不具備自己的云服務能力�,大多與云服務提供商合作。如果合作的云服務提供商沒有處理好安全問題����,一旦被黑客攻破�����,那么攝像頭用戶的信息就面臨泄露的風險,這是非常危險的��。”趙謙說�。
“攝像頭的主要功能是設置影像資料����,若在公共場合并不會造成很大影響;但攝像頭應用在家里或者其他私密空間,攝像頭被非法控制,就可能非法拍攝圖像和影像資料,不法分子可能利用這些資料進行勒索獲取,獲取錢財;也可能把視頻資料上傳到網絡上��,對個人隱私造成侵害,對個人的精神也會造成消極影響���。”北京師范大學法學院教授、亞太網絡法律研究中心主任劉德良說����。
有企業竟對安全問題不知情
智能攝像頭安全方面出現的問題���,在某種程度上是當前物聯網安全問題的縮影����。
“智能攝像頭的安全問題屬于物聯網時代存在的基本問題��,終端�、傳感器�����、控制器和端點��,都可能會被非法控制。不法分子通過對攝像頭進行控制錄制視頻�,并且對用戶進行勒索��、騙取錢財等非法活動。遠程視頻聊天軟件也可能存在隱患�。”劉德良說���。
阿里云安全專家鄔怡認為���,前幾年,物聯網的概念離普通用戶還很遠,隨著科技不斷發展�����,現在很多物聯網設備已經深入人們生活的方方面面���,包括平時使用的手環�����、家用路由器�����、攝像機、攝像頭等,還有很多低功耗的傳感器設備��,都在人們生活中非常常見��。“到2020年��,可能會有一百多億甚至兩百億的設備連接到互聯網上,但是這些設備的安全有沒有人在意呢”���?
“其實現在已經看到了一些因為安全問題造成的事件。比如,一些攝像頭廠商的攝像頭被黑客控制����,甚至還包括一些黑客入侵到家用攝像頭之中獲取用戶的隱私信息����。這些安全事件與人們日常生活息息相關�。出現這些問題的原因是什么?一個很重要的原因在于,物聯網屬于新型產業,很多廠商以前都是做硬件設備的��,而以前的硬件設備不聯網���,但現在隨著物聯網的發展��,所有設備都連接到了互聯網上,這就是所謂萬物互聯的時代�����。這時候��,以前沒有暴露出來的安全問題就逐漸暴露出來�。比如��,有的廠商在產品設計之初沒有考慮安全問題���,甚至很多設備還內置了弱口令�����,或者存在一些能被黑客直接繞過訪問的后門���,這就造成物聯網上的一些設備能夠輕易被黑客控制��,這都屬于物聯網安全問題。此外,有些廠商對物聯網設備的安全問題并不知情�����,其自身也沒有能力及時感知自己的設備是否會被黑客利用���。”鄔怡說�����。
加大處罰力度應對技術挑戰
智能攝像頭被認為具有廣泛應有前景。
“包括道路監控系統��、圖像識別�����、無人駕駛車輛����、智能城市等�,這些都需要對圖像進行處理。技術本身是中立的�,我們需要防止技術被非法利用��、濫用。”劉德良說��。
鄔怡建議��,對于普通人來說��,在日常生活中要注意自己的設備是不是有異常情況發生,是不是造成了家庭網絡的擁塞等����,這些問題是可以注意到的����。對于物聯網廠商而言���,要重視企業安全問題�����,在產品設計開發階段就要考慮安全方面的一些機制����,并且保證在產品出廠后也能監控產品是否存在安全問題�,并且能夠及時修復漏洞�。
劉德良認為,從技術方面來說,物聯網也需要防火墻積極防御����,可以借鑒傳統的互聯網安全保護業務����。當面臨的問題更多更廣泛時���,可以建立可信的系統����,建立白名單��、黑名單制度。從法律層面來說�,要做好防范措施���,盡管技術存在博弈����,但在法律層面上要加大處罰力度����。國際社會應該攜手合作,從法律上進行嚴格控制和打擊����。
從法律層面應該如何維護好物聯網安全����?
劉德良認為�,有些法律需要擴大解釋范圍���,例如刑法第二百八十六條等�。要進行條款的更改,特別是名詞的范圍要進行拓展����,現行關于網絡犯罪的條款進行拓展即可���。不過�����,隨著社會發展、科技進步,我們以后肯定會面臨更加嚴峻的網絡安全問題����,所以做好防范措施是有必要的�。
“現行的法律是有的����,對于未來物聯網的發展,我們只要對有關的法律如刑法第二百八十五條、第二百八十六條、第二百八十七條做一些修改�,擴大一些解釋����,那么現有的規定都可以適用��。如果從民事侵權責任法方面來講�����,應該要求黑色產業鏈上任何一個主體承擔連帶責任��。而現行的侵權責任法只是讓侵權主體承擔責任���,并沒有要求承擔連帶責任一說�����。”劉德良說。
(來源:法制日報)
附件列表
聯系電話:027-87324910
辦公地址:湖北省武漢市武昌區積玉橋積玉路5號(省電子質檢院8樓)
手機版
微信公眾號
會員交流群
會員服務中心
2017-07-10
中國安防展覽網點擊量:9865
打印
關閉