蘋果新機(jī)的發(fā)布讓世人感慨：刷臉時(shí)代已經(jīng)到來(lái)。無(wú)論是刷臉認(rèn)證還是視頻監(jiān)控，都離不開攝像頭?；ヂ?lián)網(wǎng)時(shí)代，攝像頭還安全嗎？本期華商報(bào)“好奇心”給你解答這個(gè)熱點(diǎn)話題。

　　■實(shí)驗(yàn)時(shí)間：9月13日

　　■實(shí)驗(yàn)地點(diǎn)：西安四葉草信息技術(shù)有限公司

　　■實(shí)驗(yàn)人員：CloverSec實(shí)驗(yàn)室安全研究員余俊峰、王明星，華商報(bào)記者

　　■實(shí)驗(yàn)顧問(wèn)：國(guó)內(nèi)知名網(wǎng)絡(luò)安全專家、四葉草公司CEO馬坤

　　相關(guān)新聞

　　IP地址被公開叫賣 不少攝像頭存在被攻擊風(fēng)險(xiǎn)

　　“對(duì)著臥室的攝像頭IP地址10元一個(gè)，拍攝到激情畫面的20元一個(gè)?！痹居脕?lái)看護(hù)家里老人孩子或用作防盜的攝像頭，竟然被不法分子在網(wǎng)上公開叫賣。

　　7月14日，北京警方破獲一起網(wǎng)上傳播家庭攝像頭破解軟件案，抓獲涉案人員24名。嫌疑人交代，他們非法獲取某品牌攝像頭破解軟件，利用黑客手段破解網(wǎng)絡(luò)攝像頭IP，然后在QQ群中出售。

　　據(jù)了解，目前我國(guó)家用攝像頭保有量為4000萬(wàn)至5000萬(wàn)個(gè)，其中一些存在被攻擊風(fēng)險(xiǎn)。

　　實(shí)驗(yàn)驗(yàn)證

　　實(shí)驗(yàn)1：監(jiān)控?cái)z像頭泄密 通過(guò)電腦可看到國(guó)外超市收銀臺(tái)

　　余俊峰介紹，為研究互聯(lián)網(wǎng)攝像頭的安全性，他注意過(guò)一款軟件。該軟件可掃描指定IP地址段的網(wǎng)絡(luò)攝像頭和路由器，而且會(huì)嘗試破解用戶名、密碼。

　　他打開這個(gè)程序以前的掃描結(jié)果文件，文件中有很多互聯(lián)網(wǎng)攝像頭IP地址。每一個(gè)IP就對(duì)應(yīng)著某處的一個(gè)攝像頭。這些IP地址用戶名大多數(shù)是默認(rèn)的“admin”，密碼則是初始密碼居多。

　　打開其中一個(gè)攝像頭IP，輸入破解出來(lái)的用戶名和密碼后，攝像頭的監(jiān)控畫面赫然出現(xiàn)在眼前。畫面是一棵樹，在風(fēng)中搖曳。做實(shí)驗(yàn)時(shí)是上午11時(shí)許，但畫面看起來(lái)卻像是凌晨5時(shí)許。從IP地址和時(shí)區(qū)來(lái)看，應(yīng)該是歐洲某國(guó)。打開另一個(gè)IP，監(jiān)控畫面顯示的是一個(gè)商店或超市，攝像頭似乎正對(duì)著收銀臺(tái)。

　　【實(shí)驗(yàn)總結(jié)】互聯(lián)網(wǎng)攝像頭若一直使用默認(rèn)用戶名和弱口令，就幾乎等同于公共平臺(tái)，無(wú)法保護(hù)隱私。

　　余俊峰說(shuō)，盡管沒(méi)有對(duì)家用室內(nèi)互聯(lián)網(wǎng)攝像頭進(jìn)行實(shí)驗(yàn)，其原理是一樣的。不少家庭路由器使用的是默認(rèn)用戶名和密碼，所連接的互聯(lián)網(wǎng)攝像頭也是這樣，泄密隱患極大。

　　實(shí)驗(yàn)2：手機(jī)被植木馬后 攝像頭可能讓人直接看到你

　　手機(jī)攝像頭會(huì)不會(huì)也存在泄密隱私的風(fēng)險(xiǎn)？

　　王明星表示有可能。他也用實(shí)驗(yàn)證明了這一點(diǎn)。

　　他在一部實(shí)驗(yàn)用手機(jī)上安裝了一個(gè)偽裝為正常應(yīng)用程序的木馬，然后開始在電腦上進(jìn)行操作。

　　電腦端打開的正是操控手機(jī)木馬的后臺(tái)程序。他輸入命令，讓實(shí)驗(yàn)手機(jī)調(diào)用攝像頭。很快，手機(jī)上出現(xiàn)了權(quán)限調(diào)用提醒：“×××試圖使用攝像頭”，下面有“允許”和“拒絕”兩個(gè)選項(xiàng)。選擇“允許”后，很快電腦上便出現(xiàn)了室內(nèi)場(chǎng)景。

　　華商報(bào)記者將手機(jī)拿到窗口，讓攝像頭對(duì)著窗外，樓下馬路上車輛穿梭和行人過(guò)馬路的場(chǎng)景，便出現(xiàn)在電腦屏幕上。

　　接下來(lái)，王明星又輸入了其他命令，手機(jī)都忠實(shí)地執(zhí)行著攻擊者的意圖。手機(jī)完全成了“雙面間諜”，表面上給機(jī)主服務(wù)，其實(shí)同時(shí)也在“忠實(shí)”地執(zhí)行著網(wǎng)絡(luò)攻擊者的命令。

　　【實(shí)驗(yàn)總結(jié)】平時(shí)使用手機(jī)一定要注意安全防護(hù)，發(fā)現(xiàn)異常要及時(shí)處理。余俊峰提醒，當(dāng)手機(jī)運(yùn)行突然變慢，或沒(méi)人操作手機(jī)某個(gè)程序卻突然打開，或者應(yīng)用程序列表中出現(xiàn)陌生程序名稱，就極有可能是中了木馬病毒，一定要盡快處理。

　　專家提醒

　　不要用默認(rèn)用戶名和密碼 家用攝像頭不要對(duì)著床

　　去年5月，360攻防實(shí)驗(yàn)室曾發(fā)布過(guò)家用攝像頭存在9大類安全風(fēng)險(xiǎn)：用戶隱私泄露、未加密數(shù)據(jù)傳輸、無(wú)人機(jī)識(shí)別機(jī)制、多數(shù)智能設(shè)備可橫向控制、未對(duì)客戶端進(jìn)行安全加固、代碼邏輯設(shè)計(jì)缺陷、存在硬件調(diào)試接口、未對(duì)啟動(dòng)程序進(jìn)行保護(hù)和沒(méi)有遠(yuǎn)程更新機(jī)制等。據(jù)介紹，安全風(fēng)險(xiǎn)相對(duì)突出的是一些與外網(wǎng)相連的攝像頭。

　　那么和網(wǎng)絡(luò)攝像頭相比，局域網(wǎng)攝像頭是不是更安全？

　　馬坤提醒，網(wǎng)絡(luò)攝像頭有安全隱患，但通過(guò)升級(jí)可以從程序上進(jìn)行封堵。局域網(wǎng)攝像頭要升級(jí)系統(tǒng)，相對(duì)來(lái)說(shuō)就比較困難?，F(xiàn)在公共基礎(chǔ)設(shè)施包括交通、金融領(lǐng)域等方面，在內(nèi)部網(wǎng)絡(luò)里也常常安裝使用攝像頭，這些攝像頭對(duì)著的大都是敏感或關(guān)鍵部位。局域網(wǎng)攝像頭一旦被黑客從內(nèi)部攻擊，這些局域網(wǎng)就會(huì)成為僵尸網(wǎng)絡(luò)而被黑客利用。病毒和木馬在找到出口后，很快就會(huì)將信息披露到外網(wǎng)，從而造成大面積的網(wǎng)絡(luò)安全事件。

　　至于手機(jī)攝像頭，由于和人更接近，一旦被黑客攻擊利用，隱私或重要信息泄露的情況可能會(huì)更嚴(yán)重。余俊峰提醒，網(wǎng)絡(luò)安全都是相對(duì)的，沒(méi)有什么可以保證絕對(duì)安全。所以，使用網(wǎng)絡(luò)攝像頭不要對(duì)著容易暴露隱私的位置，比如不要對(duì)著床和衛(wèi)生間等。

　　華商記者 馬虎振 攝影 黃利健