現(xiàn)階段，攝像頭已經(jīng)廣泛應(yīng)用于生活的方方面面，在帶給我們便利的同時(shí)，也讓不法分子發(fā)現(xiàn)了可乘之機(jī)。今年6月，澎湃新聞連發(fā)三篇報(bào)道，揭示了偷拍相關(guān)黑色產(chǎn)業(yè)鏈，在此之前，央視也報(bào)道了大量攝像機(jī)被破解，IP地址被公開(kāi)叫賣(mài)的問(wèn)題。在近日舉辦的ISC 2020第八屆互聯(lián)網(wǎng)安全大會(huì)上，攝像頭安全問(wèn)題同樣引起了與會(huì)各方的高度重視，360智慧生活集團(tuán)軟件中臺(tái)部總經(jīng)理孫浩還為此發(fā)表了專(zhuān)題演講。

　　統(tǒng)計(jì)數(shù)據(jù)顯示，2019年新增暴露的攝像機(jī)IP數(shù)量已經(jīng)超過(guò)1500萬(wàn)——這還僅僅是部分掃描數(shù)據(jù)。從變化趨勢(shì)來(lái)看，近兩年的攝像機(jī)公網(wǎng)暴露情況是直線增長(zhǎng)的，隨著C端智能攝像機(jī)的進(jìn)一步普及，這個(gè)數(shù)據(jù)還將維持高增長(zhǎng)趨勢(shì)?？梢哉f(shuō)，攝像機(jī)的安全問(wèn)題已經(jīng)得到了整個(gè)社會(huì)的廣泛關(guān)注。

　　孫浩表示，圍繞攝像頭常見(jiàn)的安全漏洞可以分為三大類(lèi)：第一類(lèi)是命令注入漏洞，可以借此執(zhí)行系統(tǒng)命令或者運(yùn)行任意程序，2016年10月，美國(guó)東海岸甚至因此造成了持續(xù)數(shù)小時(shí)的大規(guī)模斷網(wǎng);第二類(lèi)是授權(quán)問(wèn)題，可以訪問(wèn)未授權(quán)或者通過(guò)某個(gè)隱藏入口直接訪問(wèn)對(duì)應(yīng)的設(shè)備;第三類(lèi)是服務(wù)器存在訪問(wèn)控制缺陷，例如2018年4月HK云服務(wù)器發(fā)現(xiàn)訪問(wèn)控制缺陷，任意人可以通過(guò)該漏洞實(shí)現(xiàn)查看攝像、回放錄像、添加賬戶共享等操作。

　　其中，影響最大的安全漏洞還要數(shù)弱密碼問(wèn)題。由于弱密碼這類(lèi)漏洞的破解技術(shù)含量非常低，這類(lèi)的網(wǎng)絡(luò)攻擊已經(jīng)大規(guī)模的工具化、產(chǎn)業(yè)化。售賣(mài)破解工具、售賣(mài)已經(jīng)破解的IP地址和密碼、將已經(jīng)破解的設(shè)備做成一個(gè)可以在線查看的APP，諸如此類(lèi)違法黑產(chǎn)行為，甚至已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈。在此基礎(chǔ)上，攝像機(jī)安全漏洞，尤其是弱密碼帶來(lái)的風(fēng)險(xiǎn)，已經(jīng)愈演愈烈。

　　為了針對(duì)性地解決這些問(wèn)題，360會(huì)在每一款新硬件、每一個(gè)固件在發(fā)版前，按照流程做安全滲透審查。目前，360的安全滲透審查大致分為五個(gè)方面：首先是硬件安全，查看有無(wú)遺留的物理接口——這里主要是調(diào)試接口、產(chǎn)測(cè)接口，能不能防物理攻擊，比如之前門(mén)鎖的小黑盒，需要能防電磁沖擊，做好屏蔽和ESD防護(hù);再者是系統(tǒng)安全，查看有無(wú)危險(xiǎn)的端口遺留，OTA更新對(duì)固件有無(wú)校驗(yàn)，有無(wú)系統(tǒng)漏洞等;其次是應(yīng)用層安全，查看應(yīng)用安裝、運(yùn)行通信有無(wú)風(fēng)險(xiǎn);然后是通信安全，主要針對(duì)各種協(xié)議進(jìn)行分析，檢查有無(wú)身份驗(yàn)證和數(shù)據(jù)傳輸問(wèn)題;最后是云端安全，主要檢查有沒(méi)有遭受注入攻擊的風(fēng)險(xiǎn)，確保認(rèn)證安全和業(yè)務(wù)安全。

　　與此同時(shí)，為了盡可能地保障設(shè)備被合法使用，360還實(shí)施了以下舉措：一是針對(duì)家人分享功能，設(shè)定10人的分享上限，超出需求的特殊場(chǎng)景需要人工確認(rèn)審批;對(duì)頻繁分享、取消的異常行為也進(jìn)行了識(shí)別，做二次驗(yàn)證或者禁止。另外，為了避免賬號(hào)共用，目前360計(jì)劃借鑒金融平臺(tái)的設(shè)備安全認(rèn)證能力，打通內(nèi)部數(shù)據(jù)，完善賬號(hào)的異地登錄、可信設(shè)備管理等功能。

　　“物聯(lián)網(wǎng)安全是一種能力，更是一種態(tài)度，這不僅需要良好的研發(fā)規(guī)范和安審流程做保障，更需要與使用場(chǎng)景進(jìn)行深入結(jié)合。”正如孫浩在ISC 2020中所說(shuō)的那樣，類(lèi)似攝像頭這種智能硬件的安全，需要廠商通過(guò)高度的責(zé)任心和嚴(yán)謹(jǐn)?shù)难邪l(fā)流程予以保障，唯有如此才能讓用戶買(mǎi)得放心，用得安心。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。