家用智能摄头存在泄密风险 八成可以被远程窃取画面
近日,有多名网友反映,自己在家中安装了家用智能摄像头后,出现个人信息、室内场景画面被泄露等现象,疑与摄像头及其附属软件有关。昨天下午,一位专业工程师现场演示了获取家用智能摄像头用户信息及实时画面的全过程,并证实个别品牌摄像头确实存在泄密可能。据了解,根据相关测试结果,目前市场上近八成家用智能摄像头产品存在安全缺陷。
张女士家住海淀,她和老公白天都要上班,家中两岁半儿子无人照料,所以聘请了一名全职保姆照看。为能够实时掌握儿子在家的信息,夫妻俩于今年3月末通过网站购买了一组某知名品牌的远程监控摄像头,并安装在客厅、卧室、厨房等多个位置。
然而,就在今年4月中旬,张女士在浏览某小型家居网站时,无意间发现自家客厅的截图被挂在网页上。张女士称,在此之前,她和家人从来没邀请或允许任何网站的人到家中拍照片,“照片的角度就是从挂摄像头的位置拍摄的,而且画质、颜色都和手机APP上的实时画面一模一样。”
此后,张女士设法与该网站取得了联系,对方很快将网上照片删除。“对方说,图片不是他们拍摄的,而是从网上下载的,我继续追问图片来源,对方拒绝回答。”
张女士称,图片中没有出现儿子和保姆的影像,“应该说并没有出现特别严重的隐私泄露情况,可是这个隐患实在太可怕了,如果是卧室的画面泄露,那后果不堪设想。”
“我们怀疑和家里装的摄像头有关。”无奈之下,张女士只能将所有摄像头和相应的手机APP全部卸载。
实验:破解代码窃取实时画面
针对频频出现的家用智能摄像头泄密现象,某实验室在对国内市场上销售的近百个品牌的家用摄像头进行了安全评估测试后发现,市面上不少品牌的摄像头,存在用户信息泄露、数据传输未加密等安全缺陷,甚至可以在用户毫不知情的情况下,直接实时观看用户摄像头拍摄的内容并录像。
昨天下午,实验室安全研究员王先生,演示了通过软件漏洞获取已绑定手机用户摄像头实时画面的全过程。王先生所使用的工具仅为一台已经联网的电脑,一部手机以及一段自行编写的代码。
演示过程开始前,王先生首先在手机上下载了某品牌家用摄像头的APP软件,随后注册账号,但并没绑定任何摄像头,此时其页面中摄像头列表显示为空。
随后,王先生在电脑软件上输入刚刚注册的账号、密码,并在电脑上运行其编写的代码。随着代码的运行,手机APP页面上立即出现多个摄像头监控画面的预览图,且随着时间的推移数量逐渐增多,随机点开其中一个,经过短暂加载,摄像头远程传输的画面开始播放,且清晰度相当高,甚至可以辨别用户家电视中播放的电视画面。除此,在代码脚本运行过程中,大量用户注册时使用的手机号码也一同显示在屏幕上。
王先生表示,通过视频中的不同场景可以明显看出,这些画面并不仅限于某一个用户安装的摄像头的拍摄画面。“如果需要的话,(别有用心的人)可以将所有注册此APP的用户信息全部弄出来,然后根据单个用户的手机号码定位到某个特定用户身上”,从而实施针对性极强的个别用户信息窃取活动。而只要轻轻点击手机APP软件上的录制按钮,盗取的画面就会轻松地保存下来。
而对于这段作为工具的代码,王先生称,只要有一定编程知识和经验的人都可以完成,并不存在特别高的技术门槛,“就现在而言,能够编写这种代码的人还是很多的。”