現如今，下載一個與智能攝像頭相關的應用程序，就能隨時用手機查看家里的情況：老人是否出現意外，保姆帶娃是否盡責，家庭財產是否安全。這是物聯網技術帶給我們生活上的便利，聽上去真是一部和諧美滿的“家庭喜劇”？可是如果你知道除了自己以外，還有成百上千雙陌生的眼睛在盯著你家，“喜劇”可就秒變“恐怖片”了！

近日，央視新聞客戶端曝光的一則消息引起了人們的廣泛關注：目前智能家庭攝像頭泄漏隱私已經成為火熱的生意，只要將被破解的IP地址輸入播放軟件，就可以實現偷窺，不被覺察。

記者同志以大無畏的“臥底精神”深入敵方，詳細了解了這一過程。從實際體驗的情況來看，只需花費188元(沒錯，不要988，不要688，只要188)，就能在一些QQ群內輕松買到大量IP賬號，而這些IP地址配合被破解的登錄名密碼以及相應軟件后，就能輕松入侵基本上所有的家庭智能攝像頭。

　　圖：記者體驗實況

那么智能攝像頭的IP地址是怎么落到別人手中的？登錄的密碼怎么也會一同泄露呢？國家互聯網應急中心高級工程師高勝表示，用一些弱口令密碼，做大范圍的掃描。弱口令就是一些user或者admin。

更夸張的是，除了家庭智能攝像頭外，城市管理、交通監測的公共攝像頭中，也大量存在使用弱口令便可以打開的隱患。

智能攝像頭和我們的“命”(家庭人身安全)和“錢”(家庭財產安全)息息相關，難怪消息一出，人心惶惶，物聯網設備安全問題被又一次推上風口浪尖。

其實，這遠不是攝像頭第一次出事了。說到智能攝像頭造成的安全事件，最有名的就要屬去年十月Mirai 病毒使得大半個美國互聯網陷入癱瘓那次：黑客通過互聯網控制了大量物聯網設備，然后操縱這些「肉雞」攻擊了美國的多個知名網站，包括 Twitter、Paypal、Spotify 在內多個人們每天都用的網站被迫中斷服務。

事故原因調查表明，這些淪為“肉雞”的物聯網設備中有大量的 DVR(數字錄像機，一般用來記錄監控錄像，用戶可聯網查看)和網絡攝像頭(通過 Wifi 來聯網，用戶可以使用 App 進行實時查看的攝像頭)。而據安全公司的數據顯示，參與本次 DDoS 攻擊的設備中，主要來自于中國雄邁科技生產的設備。這家公司生產的攝像模組被許多網絡攝像頭、DVR 解決方案廠家采用，在美國大量銷售。

好吧，不但是攝像頭的鍋，還是中國廠商攝像頭的鍋！不過，今天的文章可不談具體怎么執行入侵這一操作，畢竟像筆者這種大好青年還不想年紀輕輕就進局子里蹲著。我們這次來說說，為什么在近年來頻發的物聯網安全事故中，受傷的總是攝像頭？

第一，視頻將很快占據絕大多數移動數據流量，智能攝像頭成發展大勢

從需求側來說：智慧城市的建設對視頻數據的需求急劇增加。構建智慧城市需要城市中各處的攝像頭記錄一天內發生了什么——通過視頻分析，既能幫助公安部門進行犯罪追蹤，也能幫助交通領域分析各個路段的路況，以為司機和出行的人們提供更便捷的信息。在家居領域，由于人們對個人財產和家人安全的保護意識逐步提升，智能攝像頭、可視門鈴等產品市場火熱。

2015 年5 月，發改委發布了由九部委聯合出臺《關于加強公共安全視頻監控建設聯網應用工作的若干意見》，首次量化了2020 年視頻監控布控的總體目標：到2020 年重點公共區域視頻監控覆蓋率達到100%，另外，要求重點行業、領域涉及公共區域的視頻圖像資源聯網率達到100%。

　　圖：《關于加強公共安全視頻監控建設聯網應用工作的若干意見》

從供給側來說，攝像頭從標清到高清的跨越，實現了視頻監控從“看得見”到“看得清”的轉變。高清攝像頭不僅讓人類看得更清楚，也能讓機器“看”得更清楚，從而讓機器更容易從中“讀懂”畫面的內容，更準確地提取人們關注的有效信息。網絡化攝像頭使得實時智能視頻分析成為現實，在智能攝像頭發展大潮下代表攝像頭未來的發展趨勢。

智能攝像頭既面向海量消費者，又背靠智慧城市建設過程中的大量企業級用戶，和一般的智能硬件相比，出貨量比較大。盤子大了，市場大了，又和人們的生活、財產、安全息息相關，不法之徒才會覺得有機可乘。

第二，大量市售智能攝像頭存在安全隱患

正所謂蒼蠅不盯無縫的蛋，何況你給人家不法分子留了那么大一條縫兒~360去年發布了一份《國內智能家庭攝像頭安全狀況評估報告》，在對國內近百個品牌的智能攝像頭進行測試后發現，有近8成產品存在安全缺陷。

傳輸未加密：大部分攝像頭采用HTTPS協議進行傳輸加密，但由于API接口配置不當，導致加密容易被破解。另外有一些攝像頭使用RTSP協議傳輸，但是協議內容是明文傳輸的，這樣只要把地址復制到一個支持RTSP協議的播放器內，就可以獲得當前智能攝像頭的界面。

未存在人機識別機制：在注冊、找回密碼等流程都需要人機識別機制來進行安全驗證，但許多攝像頭沒有人機識別機制，或者人機識別機制存在于本地，導致用戶密碼可被強制修改。

多數智能設備可橫向控制：在控制一個攝像頭之后，通過逆向分析、網絡活動分析等手段判斷出控制設備的標識和指令，如果沒有防重放參數就可以直播使用，然后根據一個或多個的設備控制標識預測出其它設備控制標識，從而橫向控制大量智能設備。

客戶端沒有安全加固：大量攝像頭app沒有進行混淆、加固，可以被輕易的逆向分析出源代碼。代碼邏輯設備有缺陷：一些代碼設計缺陷也可能造成設備被控制，比如驗證碼生成，一些開發者為了節省資源，將生成機制放在本地，有的甚至可以直接看到驗證碼，有的則可以暴力破解。缺少遠程更新機制：設備有漏洞就需要更新來補上，但很多攝像頭都沒有遠程固件更新機制等等。這些問題可能導致用戶監控視頻被泄露，或智能攝像頭被惡意控制等種種危害。

同樣是在6月18日，國家質檢總局產品質量監督司組織開展了智能攝像頭質量安全風險監測：共從市場上采集樣品40批次，依據國標，對操作系統的更新、惡意代碼防護、身份鑒別、弱口令校驗、訪問控制、信息泄露、數據傳輸使用安全有效加密、本地存儲數據保護等項目進行了檢測。結果表明：32批次樣品存在質量安全隱患。

其中，20批次樣品初始密碼為弱口令，或者用戶注冊和修改密碼時未限制用戶密碼復雜度，這一點也是大部分物聯網設備都存在的最典型的安全隱患。對此，Flashpoint 安全公司的專家曾經表示：“如果說用戶可以輕松改密碼就好了，但是模組中的密碼被寫入到了固件中，還沒有工具可以修改這個模組的密碼。更可怕的是，用戶根本不知道還有這么一個密碼的存在。”

的確，如果你是一個向消費者市場發布此類產品的公司，你不能期待消費者擁有相關的安全知識，因此，安全問題需要從設計之初就開始考慮。

智能攝像頭的安全問題可謂種類繁多，對廠商來說，需要從云端、硬件端和客戶端三方面都做好安全設計；而對智能攝像頭的用戶來說，自我防范意識也很重要，具體來說應做到以下幾點：

1.不要使用原始預設的或過于簡單的用戶名與密碼，而且要定期進行更換；

2.攝像頭不要正對臥室、浴室等隱私區域，并要經常檢查攝像頭的角度是否發生變化；

3.養成定期查殺病毒的好習慣。

4.及時更新智能攝像頭操作系統版本和相關的移動應用，發現異常應立即停止使用，并向生產廠商反饋，等待廠商修復。