家用智能攝像頭的網(wǎng)絡(luò)安全問題及應(yīng)對策略分析

摘 ?要：家里安裝一個攝像頭，手機上安裝一個移動APP，就可以遠程查看家里的情況了，十分方便?，F(xiàn)代家庭中，智能攝像頭已經(jīng)日趨普及。通過手機上的移動APP，可以隨時查看老人在家的安全狀況，保姆帶娃的盡責狀態(tài)以及有沒有小偷進入等，不少人把這些智能攝像頭看成“家庭安全盾牌”。本文主要分析家用智能攝像頭的使用安全風(fēng)險和應(yīng)對措施。

關(guān)鍵詞：智能攝像頭;智能家居;網(wǎng)絡(luò)安全

中圖分類號：TP309.7 ? ? 文獻標識碼：A 文章編號：2096-4706（2019）13-0172-03

Analysis of Network Security Problem of Home Smart Camera and

Its Countermeasure

BAO Min

（Nanan District Division of Chongqing Municipal Public Security Bureau，Chongqing ?400060，China）

Abstract：With a camera installing at home and an APP on your mobile phone，it’s very convenient to view the situation at home remotely，smart cameras are more and more popular in modern houses. Through the APP on your phone，things are always visible what happened to the old parents at home，whether the babysitter is responsible enough and whether there are thieves in，and so on，many people regard these smart cameras as “home security shields”. This paper discusses the security problems in using home smart cameras and how to keep the camera personal in technology and law.

Keywords：smart camera;smart home;network security

0 ?引 ?言

家用攝像頭多為智能攝像頭，指不需連接電腦，直接使用Wi-Fi聯(lián)網(wǎng)，配有移動應(yīng)用，可以遠程查看家里的情況，集語音通話、視頻分享、遠程操作監(jiān)控視角、報警等功能于一體的一類產(chǎn)品的總稱。智能攝像頭由鏡頭、聲音傳感器、圖像傳感器、圖像、聲音、控制器網(wǎng)絡(luò)服務(wù)器、A/D轉(zhuǎn)換器、外部報警、控制接口等部分組成，是網(wǎng)絡(luò)視頻技術(shù)與攝像機相結(jié)合的新一代產(chǎn)品。目前，市場上的智能攝像頭品牌較多，市場口碑較好的國外品牌如安訊士、D-Link、松下，國內(nèi)品牌如寧泰、海康威視都還不錯。

1 ?家用攝像頭的安全現(xiàn)狀及原因分析

1.1 ?安全現(xiàn)狀

2017年6月18日，有媒體報道稱，大量家庭攝像頭遭入侵，有人借此非法牟利。據(jù)調(diào)查，目前市面上的很多攝像頭極易被破解，他人可以隨意偷窺家庭隱私。通過在社交平臺搜索相關(guān)關(guān)鍵字，找到了許多關(guān)于“攝像頭破解”的通信群組，一些網(wǎng)民會在群聊中時不時地發(fā)送一些短視頻，號稱這是別人家攝像頭記錄的畫面。根據(jù)買家提供的使用教程和IP賬號，在播放器中輸入IP地址、登錄名、密碼后果真進入了一個攝像頭，畫面正對一個客廳。

國家市場監(jiān)督管理總局產(chǎn)品質(zhì)量監(jiān)督司組織開展了智能攝像頭質(zhì)量安全風(fēng)險監(jiān)測，共從市場上采集攝像頭樣品40批次，根據(jù)GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等標準要求，對弱口令校驗、身份鑒別、訪問權(quán)控制、操作系統(tǒng)更新、惡意代碼安全防護、信息泄露、數(shù)據(jù)傳輸加密、本地存儲數(shù)據(jù)保護等項目進行了檢測。檢測結(jié)果顯示，32批次樣品存在質(zhì)量安全隱患。最終，經(jīng)評估風(fēng)險專家評估認定，受測智能攝像頭產(chǎn)品的風(fēng)險等級為高等風(fēng)險，很有可能讓使用者家庭的室內(nèi)活動被偷窺甚至直播。這個消息一經(jīng)發(fā)布，不少市民都感到吃驚與憤怒。被民眾視為家庭安全盾牌的智能攝像頭卻淪為隱私泄露漏洞，這讓民眾的安全體驗感嚴重下降。智能攝像頭的漏洞不僅泄露個人隱私和敏感信息，也危害互聯(lián)網(wǎng)的安全。黑客攻擊引發(fā)互聯(lián)網(wǎng)大規(guī)模癱瘓的事件在美國和歐洲一些國家時有發(fā)生。

1.2 ?安全隱患背后的原因

根據(jù)現(xiàn)在的調(diào)查結(jié)果和攻擊情況來看，智能攝像頭目前存在的安全隱患主要有以下幾個方面：

（1）弱口令。業(yè)內(nèi)專家發(fā)現(xiàn)，黑客破解攝像頭主要依靠掃描器，用廠家預(yù)設(shè)的用戶名和密碼等弱口令進行大范圍的掃描，如user、admin、root之類常見而簡短的密碼。國家互聯(lián)網(wǎng)應(yīng)急中心在市場占有率排名靠前的攝像頭品牌中隨機挑選了兩個品牌，進行弱口令漏洞分布盲測，結(jié)果檢測出十幾萬個弱口令漏洞?？梢哉f，口令是智能攝像頭安全防護的第一道和最直接的防護措施。弱口令成為危害家庭攝像頭安全的頭號隱患。

（2）系統(tǒng)安全防護功能缺位。很多家用的智能攝像頭由工業(yè)攝像頭演變而來，相較于安全性，廠商更加注重功能性及用戶體驗;加之國內(nèi)市場價格競爭激烈，安全成本對產(chǎn)品的競爭力的影響不可小覷，部分山寨廠商在利潤的驅(qū)逐下甚至直接忽視安全因素，成為國內(nèi)智能設(shè)備在安全方面亂象層出的主要原因。

南昌大學(xué)信息工程學(xué)院教授徐子晨指出，每一臺智能攝像頭都可以被稱為是一個電腦，但是因為智能攝像頭專注于攝像這個功能，那么它就把很多交換機里面必要的模塊去除了，其中一個很重要的部分就是網(wǎng)絡(luò)安全檢測，或者防范攻擊防火墻的功能。一般我們家庭網(wǎng)絡(luò)里面的防火墻又做得比較初級的情況下，黑客是很容易通過掃描IP或廣播的方式找到易受攻擊的攝像頭。

（3）數(shù)據(jù)傳輸和存儲未進行加密。根據(jù)要求，攝像頭與接收終端的通信過程應(yīng)當進行數(shù)據(jù)加密，并且明文傳輸?，F(xiàn)在的網(wǎng)絡(luò)服務(wù)安全方面，除了用戶自己的用戶名和密碼之外，服務(wù)提供商也會對用戶的信息和數(shù)據(jù)再加密一次，防止黑客暴力破解用戶密碼后直接獲取到相關(guān)數(shù)據(jù)。而目前市場上的很多智能攝像頭，雖然要求通過掃描二維碼等方式綁定手機，攝像頭的設(shè)備綁定具備了一定的強度;但是因為采用了未加密的數(shù)據(jù)傳輸方式，導(dǎo)致存在極高風(fēng)險的安全漏洞。質(zhì)檢總局對外公布的調(diào)查報告顯示，40個批次的樣品中有28批次數(shù)據(jù)傳輸沒有加密！因此，即便很多用戶設(shè)置了復(fù)雜的用戶名和密碼，家用攝像頭仍然容易被暴力破解和控制。

雜牌機在這方面幾乎是不設(shè)防的。對于這樣的設(shè)備，不管用戶使用多么復(fù)雜的密碼，只要黑客愿意，通過密碼庫、暴力破解等方法解開密碼其實并不困難。但對于數(shù)據(jù)單獨加密的攝像頭來說，破解了用戶的登錄密碼也無法獲得攝像頭的監(jiān)控權(quán)，就拿某個品牌的攝像頭來說，用戶通過攝像頭錄制在手機、電腦甚至是云端的視頻都會經(jīng)過嚴格的加密，而在用戶訪問攝像機時，后臺也會啟用動態(tài)密碼，防止陌生人盜用，并且用戶也能夠再單獨設(shè)定一個訪問攝像頭的密碼，可以說做到了全方位的保護。

（4）身份認證機制缺失。有些智能攝像頭的移動應(yīng)用賬號認證系統(tǒng)設(shè)計不規(guī)范，缺乏身份認證機制，隨便輸入一個手機號都能夠注冊賬號，進而通過這個賬號綁定同一品牌下所有的智能攝像頭，橫向越權(quán)查看所綁定攝像頭的視頻。由于沒有身份認證，會給不法分子以可乘之機，而且發(fā)現(xiàn)安全問題后，對于侵入行為無法溯源，也很難追究其法律責任。

（5）其他原因。360攻防實驗室發(fā)布了《國內(nèi)智能家庭攝像頭安全狀況評估報告》，報告發(fā)現(xiàn)導(dǎo)致智能攝像頭存在安全隱患的原因主要集中在：用戶隱私泄露、無人機識別機制、多數(shù)智能設(shè)備可橫向控制、未加密數(shù)據(jù)傳輸、未對客戶端進行安全加固、代碼邏輯設(shè)計缺陷、存在硬件調(diào)試接口、未對啟動程序進行保護和沒有遠程更新機制這9大風(fēng)險。另外，路由器的安全問題也是家庭網(wǎng)絡(luò)安全的重要節(jié)點。一旦路由器的密碼被攻破，對于黑客來說家里所有連接路由器的設(shè)備都“唾手可控”。所以，路由器的安全防護也涉及智能攝像頭的安全，同樣不可小覷。

大家同樣要非常注重路由器的安全，一定要修改admin這樣的登錄密碼，還可以關(guān)閉無線廣播功能，這樣其他用戶就不能搜到你的路由器了，安全性可以大幅提升。

2 ?安全防護措施

智能攝像頭無疑為我們的生活帶來了極大便利，因噎廢食大可不必。我們應(yīng)當如何安全地使用家庭攝像頭呢？筆者認為主要可以從以下幾個方面來加強防護安全。

首先，選擇正規(guī)品牌的攝像頭產(chǎn)品，切勿購買“三無”產(chǎn)品，并注意相關(guān)部門發(fā)布的產(chǎn)品質(zhì)量信息。購買產(chǎn)品前應(yīng)仔細辨別相關(guān)產(chǎn)品是否具備身份認證機制等安全防護程序。同時，在安裝的過程中要慎重考慮廠家關(guān)于收集、保存和使用用戶信息的要求。市場上的智能攝像頭質(zhì)量參差不齊，消費者應(yīng)綜合選擇安全防護性高的品牌，從硬件上保證安全防護的底線不被突破。

其次，設(shè)置安全密碼，及時更新智能攝像頭操作系統(tǒng)版本和相關(guān)的移動應(yīng)用，養(yǎng)成定期殺毒的好習(xí)慣。專家建議用戶在啟用智能攝像頭前要做的第一件事就是修改密碼，而且要定期進行更換。同時及時地更新最新補丁及固件，養(yǎng)成定期查殺病毒的好習(xí)慣。

再次，應(yīng)經(jīng)常登錄攝像頭進行查看，攝像頭切勿正對臥室、浴室等私密區(qū)域，如發(fā)現(xiàn)攝像頭的角度發(fā)生變化，就需留意賬號安全。另外，要隨時關(guān)注手機移動應(yīng)用軟件的提醒。如果綁定的手機收到了驗證碼短信，應(yīng)及時修改密碼。

最后，應(yīng)制定家用智能攝像頭的安全信息標準，推動廠家提高產(chǎn)品的信息安全防護能力，這才是從根本上解決家用智能攝像頭安全的關(guān)鍵所在。目前，我國還沒有針對家用智能攝像頭的行業(yè)標準，呼吁政府部門推動行業(yè)協(xié)會先行制定行業(yè)標準，并盡快制定強制檢查制度。在此之前，監(jiān)管部門應(yīng)該加強對智能攝像頭的質(zhì)量安全監(jiān)管和曝光力度。

3 ?智能攝像頭安全法律分析

3.1 ?現(xiàn)行法律分析

從現(xiàn)行的法律法規(guī)來看，并沒有針對家庭智能攝像頭安全設(shè)置專門的法律規(guī)定，但在現(xiàn)行的法律框架內(nèi)還是有法律依據(jù)可循。

3.1.1 ?行政責任

暴力破解智能攝像頭賬號和密碼并在網(wǎng)上公開出售的行為涉嫌非法獲取、出售公民個人信息、散布他人隱私，可按照《中華人民共和國治安管理處罰法》第四十二條的規(guī)定按情節(jié)做出罰款或拘留的處罰決定。

制作、傳播和出售從攝像頭中獲取的隱私視頻牟利，可按照《中華人民共和國治安管理處罰法》第六十八條的規(guī)定做出罰款或拘留的處罰決定。

3.1.2 ?刑事責任

（1）侵犯公民個人信息罪。破解獲取智能攝像頭賬號和密碼并出售的行為，涉嫌侵犯公民個人信息罪。根據(jù)《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條的規(guī)定，明確賬號密碼和行蹤軌跡屬于公民個人信息，非法獲取、出售或者提供50條以上即涉嫌構(gòu)成侵犯公民個人信息罪。根據(jù)《中華人民共和國刑法》第253條的規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。

（2）傳播淫穢物品罪和制作、販賣、傳播淫穢物品牟利罪。對于非法侵入家用智能攝像頭并截取攝像頭中的性行為視頻進行制作、傳播的，涉嫌構(gòu)成傳播淫穢物品罪;如果傳播者因此牟利，將涉嫌構(gòu)成傳播淫穢物品牟利罪?！吨腥A人民共和國刑法》第三百六十三條、第三百六十四條和《關(guān)于辦理利用互聯(lián)網(wǎng)、移動通訊終端、聲訊臺制作、復(fù)制、出版、販賣、傳播淫穢電子信息刑事案件具體應(yīng)用法律若干問題的解釋（一）》《關(guān)于辦理利用互聯(lián)網(wǎng)、移動通訊終端、聲訊臺制作、復(fù)制、出版、販賣、傳播淫穢電子信息刑事案件具體應(yīng)用法律若干問題的解釋（二）》和《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等相關(guān)司法解釋，具體明確了上述違法犯罪行為的構(gòu)成要素。

3.2 ?可行性法律分析

對于守護智能攝像頭安全的第一道防線的攝像頭生產(chǎn)廠家和銷售商家，國家相關(guān)部門應(yīng)該盡快制定出臺相應(yīng)的物聯(lián)網(wǎng)安全技術(shù)標準和強制性要求，明確智能攝像頭必須具備健全的身份識別模塊、系統(tǒng)安全防護功能、存儲和傳輸數(shù)據(jù)加密功能等基本安全措施，以便進行安全測評和認證。同時，制定相應(yīng)的法律法規(guī)，對于明顯不符合安全標準的產(chǎn)品，責令停止生產(chǎn)和銷售;對產(chǎn)品存在的安全缺陷和漏洞等風(fēng)險未及時采取補救措施或未按照規(guī)定及時告知消費者和相關(guān)部門的，由主管部門對涉事企業(yè)采取責令改正、責令召回、罰款、停業(yè)整頓或吊銷營業(yè)執(zhí)照等行政處罰措施。

4 ?結(jié) ?論

智能攝像頭作為防衛(wèi)網(wǎng)絡(luò)安全的重要組成部分，其安全至關(guān)重要。綜上所述，鑒于現(xiàn)行法律法規(guī)只有籠統(tǒng)規(guī)定，行政管理部門無法對智能攝像頭的安全進行有效監(jiān)管;同時，現(xiàn)行的法律法規(guī)也無法為行政管理部門和司法部門提供執(zhí)法依據(jù)。盡快制定和出臺針對智能攝像頭的安全技術(shù)標準和專門性法律法規(guī)，明確行政管理部門的管理職能和司法機關(guān)的執(zhí)法依據(jù)已經(jīng)迫在眉睫。

參考文獻：

[1] 李俊艷.電信運營商業(yè)務(wù)平臺安全防護體系規(guī)劃 [J].信息技術(shù)與信息化，2017（Z1）：18-21.

[2] 張國華.主機數(shù)據(jù)泄露防護技術(shù)研究 [D].南京：南京大學(xué)，2012.

[3] 張文禮.質(zhì)檢總局發(fā)布智能攝像頭質(zhì)量安全風(fēng)險警示 [N].中國質(zhì)量報，2017-06-19（第2版）.

[4] 馮松齡.八成智能攝像頭樣品存安全隱患 [N].中國消費者報，2017-06-21（第1版）.

[5] 李曉磊.“智能攝像頭”破解調(diào)查：偷窺隱私已成利益鏈 [J].法治與社會，2017（9）：62-64.

作者簡介：鮑敏（1982-），女，漢族，山東人，警務(wù)技術(shù)一級主管，法律碩士，研究方向：民商法方向。