在前兩年,可能沒人會關注這個話題。但随着近期家庭攝像頭産品接二連三到來,以及央視315一次“攝像頭被黑”的大尺度曝光,它在使用者讨論間也開始有了熱度。我們通常以為,電腦和手機上的攝像頭都會很安全,但實際上這上邊經常爆出各種洩露使用者隐私的“xx門”,最近一起“瘋狂來往”事件就是某個不良應用錄制使用者隐私視訊然後上傳到優酷上被公開傳閱。
家用攝像頭更接近大家生活,它24小時着監控着家裡狀态,如果被黑危害比手機電腦更大。如何判斷這款攝像頭的安全性呢?或者說,如何判斷攝像頭廠商們提供的安全防護是否完備?
一般來說,家庭攝像頭的安全有兩個次元,一是系統/固件安全,二是使用安全。系統安全是指攝像頭内的系統是否可被攻破,其一般有unix/linux/rtos等,這個内容比較晦澀難懂,且先跳過放在下一篇來講。日常使用安全比較泛,包括攝像頭上sd卡被人拿走、雲服務攻破上邊視訊怎麼弄、id被盜怎麼破(專業的說法是硬體實體安全、雲端存儲及中轉安全、app安全)等。我們來看看業界慣常認定的日常使用安全是如何做的。
攝像頭最讓人擔憂的是内容洩露,是以它需要用更多的加密來預防。這包括傳輸過程中的https加密、加密算法加密,sd卡存儲加密,伺服器上内容的加密。目前國内廠商這方面很少宣傳,大多一個“金融級安全”的詞了事。少數一兩家用心的會主動多說一句:“我們全程采用了https加密。”https加密可以保證傳輸過程中視訊内容不會被黑客嗅探到。
實際上,由于攝像頭很少在公衆領域宣傳,許多廠商對這方面的安全并不關注,采用明文傳輸的比比皆是,是以去主動宣傳自己在安全方面的做法就尤為重要。
除了防止内容在傳輸過程被洩露外,還需要保證使用者賬号被盜後的監控安全,這要從分級密碼講開。
簡單的說,就是檢視視訊時需要一個二級密碼驗證。當你的賬号被盜取後,其他人登入是沒有用的,對方隻能看到你綁定了這個攝像頭,檢視攝像頭的監控内容需要這個密碼來驗證。當然,這個密碼正常使用時,不是每次都需要驗證,它會綁定裝置,隻有在新裝置上登入賬号才會需要輸入。
分級設定密碼是使用者端非常重要的防護機制,但目前國内僅僅隻有一兩家做了這個設定。也就是說,大部分攝像頭在賬号被盜後就完全裸奔了。
以上隻是最重要的兩點,其實安全機制其實還有很多。比如不喜歡雲端的使用者可以嘗試點對點直連的攝像頭,這可以避免雲端洩漏;對安全特别謹慎的使用者可以在應用内設定圖形鎖;以及賬号綁定手機,可以更好的保障賬号安全。
家庭攝像頭作為視覺類硬體,被認為是未來智能家居的眼睛,它的安全關乎使用者個人安全。是以,廠商們在這上邊花的功夫就尤為重要。在下一期,我們希望讨論攝像頭的系統/固件安全,這是駭客們最常攻擊的地方,通過網絡端口掃描程式檢測到攝像頭,然後用弱密碼或漏洞進入攝像頭,然後……