在前两年,可能没人会关注这个话题。但随着近期家庭摄像头产品接二连三到来,以及央视315一次“摄像头被黑”的大尺度曝光,它在用户讨论间也开始有了热度。我们通常以为,电脑和手机上的摄像头都会很安全,但实际上这上边经常爆出各种泄露用户隐私的“xx门”,最近一起“疯狂来往”事件就是某个不良应用录制用户隐私视频然后上传到优酷上被公开传阅。
家用摄像头更接近大家生活,它24小时着监控着家里状态,如果被黑危害比手机电脑更大。如何判断这款摄像头的安全性呢?或者说,如何判断摄像头厂商们提供的安全防护是否完备?
一般来说,家庭摄像头的安全有两个维度,一是系统/固件安全,二是使用安全。系统安全是指摄像头内的系统是否可被攻破,其一般有UNIX/Linux/RTOS等,这个内容比较晦涩难懂,且先跳过放在下一篇来讲。日常使用安全比较泛,包括摄像头上SD卡被人拿走、云服务攻破上边视频怎么弄、ID被盗怎么破(专业的说法是硬件物理安全、云端存储及中转安全、App安全)等。我们来看看业界惯常认定的日常使用安全是如何做的。
摄像头最让人担忧的是内容泄露,所以它需要用更多的加密来预防。这包括传输过程中的HTTPS加密、加密算法加密,SD卡存储加密,服务器上内容的加密。目前国内厂商这方面很少宣传,大多一个“金融级安全”的词了事。少数一两家用心的会主动多说一句:“我们全程采用了HTTPS加密。”HTTPS加密可以保证传输过程中视频内容不会被黑客嗅探到。
实际上,由于摄像头很少在公众领域宣传,许多厂商对这方面的安全并不关注,采用明文传输的比比皆是,因此去主动宣传自己在安全方面的做法就尤为重要。
除了防止内容在传输过程被泄露外,还需要保证用户账号被盗后的监控安全,这要从分级密码讲开。
简单的说,就是查看视频时需要一个二级密码验证。当你的账号被盗取后,其他人登录是没有用的,对方只能看到你绑定了这个摄像头,查看摄像头的监控内容需要这个密码来验证。当然,这个密码正常使用时,不是每次都需要验证,它会绑定设备,只有在新设备上登录账号才会需要输入。
分级设置密码是用户端非常重要的防护机制,但目前国内仅仅只有一两家做了这个设置。也就是说,大部分摄像头在账号被盗后就完全裸奔了。
以上只是最重要的两点,其实安全机制其实还有很多。比如不喜欢云端的用户可以尝试点对点直连的摄像头,这可以避免云端泄漏;对安全特别谨慎的用户可以在应用内设置图形锁;以及账号绑定手机,可以更好的保障账号安全。
家庭摄像头作为视觉类硬件,被认为是未来智能家居的眼睛,它的安全关乎用户个人安全。因此,厂商们在这上边花的功夫就尤为重要。在下一期,我们希望讨论摄像头的系统/固件安全,这是骇客们最常攻击的地方,通过网络端口扫描程序检测到摄像头,然后用弱密码或漏洞进入摄像头,然后……
本文部分观点采访自中兴家庭网络运营总监田波