家庭智能摄像头是一把双刃剑,一方面通过远程监视家庭动态,防止可疑人员;另一面也给别有用心的人留下了一扇打开家庭私密空间的“窗户”。让我们的私密活动完全曝光在网络当中,任人观看。
近日,D-Link的DCS-2132L云摄像头显然已经中招,攻击者不但可以借助安全漏洞截取你的监控视频,并且还能直接操纵设备的固件。其实对于用户而言,这款D-Link摄像头最严重的问题就是其未加密的视频流传输,摄像头与云端以及客户端之间并没有设立保护措施,最终给攻击者提供了可乘之机,入侵者想要调取视频流可以说是易如反掌的。
最终经过研究结果发现,客户端与摄像头之间是通过接口2048上的代理服务器进行通信的,也就是说使用了D-Link自有的信道协议。但是值得注意的是,这些信道的数据只有仅仅的一小部分得到了加密,而大部分包含IP地址、MAC地址、视频流请求等敏感信息都没有设防。
家庭智能摄像头本来被称为“安防用品”,如今却成了隐私的“直播机”,确实让人担忧。如何保障不被偷窥?
首先,我们在购买此类智能摄像头设备时,要从正规渠道购买,切勿购买“三无”产品,注意留意权威部门发布的相关产品质量信息;
其次,是要增强隐私信息保护意识,在购买、使用智能摄像头产品和接受相关服务时,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险,审慎考虑厂商收集、保存和使用用户信息的要求,根据自我实际情况和意愿作出购买和选择决定;
再次,在使用之前先修改智能摄像头默认密码,密码设置应有一定的复杂度并定期修改;最后,就是及时更新智能摄像头操作系统版本和相关的移动应用,发现异常应立即停止使用,并向生产厂商反馈,等待厂商修复。
实际上,破解智能摄像头的密码、侵入相关系统、偷看或直播智能摄像头监控内容,早已成为一条非法产业链。在网上输入“摄像头破解”,就能跳出众多相关文字链信息,甚至还会有人主动询问你是否需要扫描软件,并声称这些扫描软件能够攻破摄像头的IP地址,将被破解的IP地址输入播放软件,就不会被觉察。那么问题来了,这些黑产是如何获得智能摄像头的IP地址呢?
对此,安全专家也给出了答案,一般卖家所提供的这些扫描软件主要依靠扫描器,用一些弱口令密码进行大范围的扫描,例如user或者admin等极简单甚至是原厂默认口令。严重的是,不仅仅是个人用户,就连那些用于城市管理、交通监测的公共摄像头中,也大量存在着使用弱口令就能打开的问题,且涉事设备数量庞大。