家用摄像头的物联网安全防范

家用摄像头的物联网安全防范

李沐阎，王勇，王乾

吉林建筑科技学院

摘   要:随着物联网的发展，智能家居的兴起。摄像头也有了它的新的生命，摒弃了以前摄像头的单一功能。现代化家具热潮，使得摄像头进入各家各户，通过它可以观察老人在家的情况、小孩在家的状况以及还可以防范小偷是否进入家里。虽然智能家用摄像头给我们带来了许多好处，但对于家用摄像头的网络安全隐患目前仍引发人们热议。本篇文章就分析对于家用摄像头物联网安全防范问题进行探究。

关键字：家用摄影头；智能家居；网络安全；

一、 引言

如今物联网摄像头的应用已经遍及城市交通，企业内部，医院，银行，家庭等生产生活的各个场景。但在如此多摄像头的背后，可能还有成百上千双陌生的眼睛正窥视着你。如果说在互联网时代,硬件和系统漏洞带来的危害尚局限于用户，那么在万物互联时代，由其衍生的危害将拓展至我们每个人的人身、财产安全。

本是为了家人、住宅安全而安装的摄像头，如今却出了不少安全纰漏。有网友发现，自己正逛着网络论坛，电脑屏幕突然弹出自家客厅的照片，甚至有日常生活的视频片段；有人正与家人在自家餐厅里吃着火锅唱着歌，或正在浴室里洗澡，自家的智能摄像头却当了“叛徒”，一不小心在家里的吃喝拉撒都在网上被直播……这样的场景并非杞人忧天。针对暴露情况、漏洞、隐患等多方面对摄像头应用现存的安全威胁和相关黑色产业攻击行为对家用摄像头的物联网安全防范已迫在眉睫。

二、家用摄像头的安全现状及其原因分析

2.1安全现状

据央视《24小时》节目报道，大量互联网摄像头遭入侵。根据有关统计显示27%的控制系统已经被攻破或被感染，80%的设备采用简单密码，70%的设备通信过程不加密，90%固件升级过程不进行验证。一些安全性较差的摄像头就会成为被攻击的对象。

在当前互联网得到大范围推广和普及的背景下，普通摄像头带给人们的隐私安全问题迎来了巨大的挑战。截至2020年，全球用户采用的物联网设备数量可以达到约300亿台，海量的物联网设备连接到互联网上，使得其中一些存在安全漏洞的设备成为了网络攻击的目标。

国家信息中心专家指出， 目前市面上销售的智能摄像头鱼龙混杂，不仅品牌多达100多个，而且无品牌的山寨产品更是不计其数，其中很多产品缺乏完善的安全设计，更没有进行过系统的安全风险评估。利用这些设备的安全漏洞，黑客不仅可以接管这些设备的控制权而为所欲为，还可以窃取用户个人信息和个人数据，其安全问题日益凸显。

2.2公网暴露和漏洞攻击威胁

结合网络公开情报来源的设备指纹对某两个全球市场占有率排名靠前的国内消费摄像头厂商的设备分布情况进行搜索：

1.基于shodan数据可见某***视设备在全球分布最广的是巴西、印度、中国、墨西哥、韩国，主要暴露端口是rtsp(554\8554)、http(80\81\8080)；

2.单从shodan上统计，暴露在公网的该设备就超过28W。

另外一个厂商的设备在shodan的搜索结果：

1.基于shodan数据可见某**华设备在全球分布最广的是巴西、美国、中国、印度、波兰，主要暴露端口是rtsp(554\8554\10554)、http(80\81\8080)； 

2.单从shodan上统计，暴露在公网的该设备就接近14W。

同时检测到两家厂商暴露公网的该设备都是linux系统。需要注意的是如shodan这类网络空间搜索引擎(如Zoomeye、Fofa等)，基本都提供了搜索API的支持，用户可以通过搜索API批量导出暴露公网的设备IP地址以及端口号。进一步结合github搜索或metasploit等开源漏洞检测工具中找到的相关设备漏洞利用或漏洞检测源码，可以以较低的门槛实现批量的漏洞利用和设备控制。值得注意的是，随着我国城市化发展和公民不断自行采购该类产品，公网暴露的摄像头数量仍在不断增加中。

2.3服务器协议逆向和破解威胁

针对当前大量用户购买的可通过App控制的家用摄像头，国外研究者有对其通信协议进行逆向，也证明了可以通过对其协议漏洞的利用，无限制枚举接入该服务商后端服务器的设备ID，并通过默认口令大规模尝试登录并查看视频流。利用某摄像头的远程控制协议漏洞无限制检索已连接该服务器的可用设备

三、安全防护措施

3.1我国公共视频监控标准体系

我国已经发布的针对公共视频监控系统联网的应用技术标准、合格评定、管理规范体系如图2所示

图2 公共安全视频监控系统联网的应用技术体系

需要注意的是，上述标准主要是对公共视频监控领域摄像头设备的要求，却并未有效的约束消费市场智能摄像头产品的质量要求。保证用户隐私和网络资源不被滥用的基础，依然是摄像头厂商能充分考虑黑客的攻击场景，并规避潜在的产品配置和代码缺陷。

3.2提升用户安全意识

1.大多数物联网监控设备使用的都是初始弱口令，这类口令漏洞很容易被攻击者猜到或者破解，口令通常极为简单，这导致黑客能够简单地利用爆破手段、初始账号密码手段获取摄像头的控制权。及时更改弱口令密码，避免使用摄像头厂商给予的初始账号密码登录，并定期更换密码。

2. 在注册密码、找回密码等流程都需要人机识别机制来进行安全验证，但许多物联网摄像头没有人机识别机制，或者人机识别机制存在于本地，导致用户密码可被强制修改。可以通过增加验证码机制，这样可以避免黑客使用基础的破解手段获得摄像头控制权，或者可以采用基于时间戳的加密方法，即将登录的时间信息带入加密，防止cookie重放攻击等无需输入账号密码的破解手段。

3.选择知名度高、加密性好的品牌摄像头。杂牌机在这方面几乎是不设防的。除此之外应经常登录摄像头进行查看，摄像头切勿正对卧室、浴室等私密区域，如发现摄像头的角度发生变化，就需留意账号安全。另外，要随时关注手机移动应用软件的提醒。如果绑定的手机收到了验证码短信，应及时修改密码。

3.3使用安全防护产品

对于企业级的摄像头产品用户，在部署较多摄像头相关设备，并连接公网的情况下，可以进一步考虑使用具有摄像头漏洞攻击防护能力的专业网络安全设备，进一步保障网络安全，杜绝摄像头计算资源被僵尸网络等恶意软件或攻击者攻击的隐患。

四、结 论

消费者要提高自我防范意识，购买智能家用摄像头时应到正规卖场挑选知名度高、加密设置高的品牌产品；使用家用摄像头时密码设置不仅要复杂，还要定时修改，并且按照厂家的提示进行升级，提高安全系数；不使用摄像头时要及时断开电源和网络，减少泄密的风险。一旦发现隐私被泄露，消费者应通过法律渠道维护自身合法权益。

参考文献

[1]李娟,于忠臣,韩文英.智慧城市中物联网摄像头安全风险分析[J].信息安全与通信保密,2017(12):40-48.

[2]鲍敏.家用智能摄像头的网络安全问题及应对策略分析[J].重庆市公安局南岸区分局,2096-4706（2019）:13-0172-03

[3]刘国信.家用摄像头安全性受关注[J].农村电工第25卷2017年第10期

课题：吉林省教育厅高教处，创新训练项目《家用摄像头的物联网安全防范》编号：S202213604037

作者简介：

李沐阎（2002—），男，吉林延边人，2020级本科生，研究方向：网络工程

王勇（1985—），男，吉林长春人，理学学士，实验师，研究方向：互联网安全、计算机硬件技术、电信技术。

王乾(2002—)，男，吉林长春人，2020级本科生，研究方向：网络工程