近年来，通过安装智能摄像头看家护院，已成为许多“潮流”人士的选择。然而不久前，国家质检总局却发布了一则质量安全风险警示，在受检的40批次智能摄像头中，32批次被曝出质量安全隐患，可能导致用户监控视频泄露，甚至智能摄像头被恶意控制等情形，使安全监控变成了泄露隐私的直播，着实令人不安。

为什么盯上智能摄像头

智能摄像头，通常是指无须连接电脑，直接使用Wi-Fi联网，搭载手机App后，可远程实时查看监控环境的智能家居产品。有的产品还支持视频分享、远程操作监控视角、移动侦测报警等多种功能，因其具有安装门槛低、操作简单、功能强大等特点，受到了广大用户的青睐。

但不可否认，智能摄像头也存在稳定性差、安全性低等问题，很容易被黑客攻破，成为非法窃取用户隐私的帮凶。以“智能摄像头”“破解”等为关键词在网上搜索，可以看到各种博客、贴吧、论坛、兴趣群等公开讨论智能摄像头破解方法，甚至有不法人员网上兜售破解工具和教程，仅花费数百元即可买到被破解的IP地址、登录账号和密码，不觉中已形成一条灰色产业链。而智能摄像头被黑客和不法人员盯上，又与其自身使用特性不无关联。

1.应用场所敏感。智能摄像头一般用于重要场所、特殊位置的安防，隐私性很强，监控数据敏感。例如，有不法人员在网上公开贩卖破解教程的宣传噱头竟然是“浴室”“卧室”等，以此吸引眼球。

2.与移动网络互联。与传统意义上的摄像头不同，智能摄像头可提供移动应用及网络监控管理，从而实现与智能手机的互操作。此外，用户还可以远程实现监控画面的放大、缩小、旋转等功能，这种非接触性的特点，无疑为黑客攻击提供了便利。

3.衍生功能强大。为了增加卖点、提升使用体验，越来越多的厂商为智能摄像头开发了360度云台、夜视、录音、录像、拍照、语音通话等附加功能。但功能的复杂势必带来更多的安全缺口，数据传输未加密，App未进行安全加固，软件代码存有缺陷，硬件调试接口可被横向控制等安全缺陷，使得智能摄像头愈加成为不法人员垂涎的目标。

黑客如何攻破智能摄像头

黑客的攻击过程主要分为两步：第一步，在网络空间中找到智能摄像头。智能摄像头在网络空间中表现为一个节点，黑客利用自制的扫描软件或公开的搜索引擎，搜索所有与互联网关联的服务器、摄像头、打印机、路由器等，进而根据功能特征找到节点位置，准确定位其IP地址。

第二步，破解用户账号和密码。黑客先利用智能摄像头IP地址进入Web登录界面，再利用逻辑推理或暴力破解等手段，获得账号和密码，从而进入监控系统，实现偷窥。需要说明的是，很多用户安全意识不强，直接使用厂商默认的账号和密码，黑客根本无须费力破解，即可直接登录。

而黑客之所以能破解智能摄像头，回溯其设计和生产过程，不难从4方面发现问题。

1.访问控制方面。一是用户使用了弱口令。据统计，遭受攻击的用户中，账号名称大多为user、admin，密码则是abc、123456等，复杂程度较低，经不起推敲，而厂商也未对用户的密码复杂程度进行限制。二是未限制默认账户的访问权限。出于方便用户使用和在线升级维护等原因，一般情况下，厂商不会对默认账户的访问权限进行限制，否则可能会导致某些功能无法正常使用，黑客则恰好利用这一便利条件发起攻击。

2.身份鉴别方面。一是厂商未提供登录失败处理功能，不能有效防范黑客的暴力破解和非法攻击。二是智能摄像头未采取结束会话、限制非法登录和超时自动退出等措施，使用户易遭受重放攻击，即黑客盗取代表用户身份的认证凭据后，再把它重新发给认证服务器，以达到欺骗的目的。而“账户+口令”的认证方式本身安全性就较弱，应采用电子密码器、身份认证卡等更高级的方式，保护用户身份不被冒用。

3.数据加密方面。一是用户账号、密码明文存储，或用户注册信息可被随意查看，从而使黑客轻而易举地取得管理权限。二是厂商后台存有漏洞，致使海量视频监控数据被非法下载。三是监控视频存储于本地或云端，尤其是存储于本地的数据，未经加密处理，无法保证安全性，黑客下载后可直接使用。

4.更新功能方面。一是部分厂商为日后远程调试设备，便于售后服务等原因，特意留下了“后门”，这种“后门”一般具有较高的权限，能够修改智能摄像头信息，甚至篡改设备本身，为黑客非法操控留下了可乘之机。二是部分厂商未提供系统和固件的更新功能，不能及时修补漏洞，一旦黑客扫描到系统漏洞并发起攻击，系统不能及时响应和防护，造成了被动挨打的局面。

不可不知的安全策略

当前，随着物联网技术的飞速发展，对传统硬件设备进行的智能化改造，实现了“人员-网络-硬件”之间的无缝对接，在提高人们工作生活便捷性的同时，也带来了纷繁复杂的网络信息安全风险。当下，智能摄像头不仅作为家用产品，在政府部门、部队机关、企事业单位等均有应用，其安全性也须从设计、生产、选购、安装、使用等全生命周期通盘考虑。

对厂商而言，应加大安全投入，严格按照国家标准和行业规范设计、生产、维护智能摄像头，努力提高安全防御能力，具体可从3方面做起。

1.增强系统安全防御能力。智能摄像头监控系统包括监控设备和移动应用两部分。除了要在访问控制、身份鉴别、数据加密等方面提高监控设备的安全防御能力外，还须在App软件设计、智能摄像头固件更新等方面提高研发能力，减少安全漏洞。

2.确保云服务安全可靠。智能摄像头的云服务由厂商运维保障，里面存储着大量用户注册信息和海量视频监控数据，十分敏感，必须保证其独立性。同时还要通过加密手段，确保监控系统与云服务平台之间的数据交互安全。

3.建强售后服务团队。厂商应建立一支可靠的售后服务团队，制定安全应急预案，一旦出现网络安全问题，确保能够及时处置、妥善应对。同时，厂商还有必要向广大用户及时发出安全提醒，在日常使用中更新安全知识。

而作为普通用户，可以从以下方面采取防范措施。

1.选购知名品牌设备。众所周知，知名厂商研发能力强，在设计和生产过程中比较注重安全问题，且售后服务较为完善，在更新系统、增打补丁、封堵漏洞等方面有一定的保障。

2.及时修改并定期更换密码。智能摄像头安装完毕后，用户要做的第一件事就是登录Web管理界面或手机App，修改默认管理密码，提高密码的复杂度，并不时进行更换。

3.适时关闭智能摄像头。例如，当有人在家时，可以采取切断电源、拔除网线、关闭Wi-Fi等方式关闭智能摄像头或切断其与互联网的连接，防止其在不必要的时间内工作。

4.避开敏感位置。尤其是带有云台的智能摄像头，用户要及时观察监控角度是否发生变化，以免受到外界操控。在日常使用中，还要及时升级相关应用，一旦发现问题，立即停用设备，并向厂商反馈，等待修复结果。

（原载于《保密工作》2017年第11期）