摘 ?要：家里安裝一個(gè)攝像頭，手機(jī)上安裝一個(gè)移動(dòng)APP，就可以遠(yuǎn)程查看家里的情況了，十分方便?，F(xiàn)代家庭中，智能攝像頭已經(jīng)日趨普及。通過(guò)手機(jī)上的移動(dòng)APP，可以隨時(shí)查看老人在家的安全狀況，保姆帶娃的盡責(zé)狀態(tài)以及有沒(méi)有小偷進(jìn)入等，不少人把這些智能攝像頭看成“家庭安全盾牌”。本文主要分析家用智能攝像頭的使用安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施。

關(guān)鍵詞：智能攝像頭;智能家居;網(wǎng)絡(luò)安全

中圖分類號(hào)：TP309.7 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）13-0172-03

Analysis of Network Security Problem of Home Smart Camera and

Its Countermeasure

BAO Min

（Nanan District Division of Chongqing Municipal Public Security Bureau，Chongqing ?400060，China）

Abstract：With a camera installing at home and an APP on your mobile phone，it’s very convenient to view the situation at home remotely，smart cameras are more and more popular in modern houses. Through the APP on your phone，things are always visible what happened to the old parents at home，whether the babysitter is responsible enough and whether there are thieves in，and so on，many people regard these smart cameras as “home security shields”. This paper discusses the security problems in using home smart cameras and how to keep the camera personal in technology and law.

Keywords：smart camera;smart home;network security

0 ?引 ?言

家用攝像頭多為智能攝像頭，指不需連接電腦，直接使用Wi-Fi聯(lián)網(wǎng)，配有移動(dòng)應(yīng)用，可以遠(yuǎn)程查看家里的情況，集語(yǔ)音通話、視頻分享、遠(yuǎn)程操作監(jiān)控視角、報(bào)警等功能于一體的一類產(chǎn)品的總稱。智能攝像頭由鏡頭、聲音傳感器、圖像傳感器、圖像、聲音、控制器網(wǎng)絡(luò)服務(wù)器、A/D轉(zhuǎn)換器、外部報(bào)警、控制接口等部分組成，是網(wǎng)絡(luò)視頻技術(shù)與攝像機(jī)相結(jié)合的新一代產(chǎn)品。目前，市場(chǎng)上的智能攝像頭品牌較多，市場(chǎng)口碑較好的國(guó)外品牌如安訊士、D-Link、松下，國(guó)內(nèi)品牌如寧泰、?？低暥歼€不錯(cuò)。

1 ?家用攝像頭的安全現(xiàn)狀及原因分析

1.1 ?安全現(xiàn)狀

2017年6月18日，有媒體報(bào)道稱，大量家庭攝像頭遭入侵，有人借此非法牟利。據(jù)調(diào)查，目前市面上的很多攝像頭極易被破解，他人可以隨意偷窺家庭隱私。通過(guò)在社交平臺(tái)搜索相關(guān)關(guān)鍵字，找到了許多關(guān)于“攝像頭破解”的通信群組，一些網(wǎng)民會(huì)在群聊中時(shí)不時(shí)地發(fā)送一些短視頻，號(hào)稱這是別人家攝像頭記錄的畫面。根據(jù)買家提供的使用教程和IP賬號(hào)，在播放器中輸入IP地址、登錄名、密碼后果真進(jìn)入了一個(gè)攝像頭，畫面正對(duì)一個(gè)客廳。

國(guó)家市場(chǎng)監(jiān)督管理總局產(chǎn)品質(zhì)量監(jiān)督司組織開(kāi)展了智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)監(jiān)測(cè)，共從市場(chǎng)上采集攝像頭樣品40批次，根據(jù)GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)要求，對(duì)弱口令校驗(yàn)、身份鑒別、訪問(wèn)權(quán)控制、操作系統(tǒng)更新、惡意代碼安全防護(hù)、信息泄露、數(shù)據(jù)傳輸加密、本地存儲(chǔ)數(shù)據(jù)保護(hù)等項(xiàng)目進(jìn)行了檢測(cè)。檢測(cè)結(jié)果顯示，32批次樣品存在質(zhì)量安全隱患。最終，經(jīng)評(píng)估風(fēng)險(xiǎn)專家評(píng)估認(rèn)定，受測(cè)智能攝像頭產(chǎn)品的風(fēng)險(xiǎn)等級(jí)為高等風(fēng)險(xiǎn)，很有可能讓使用者家庭的室內(nèi)活動(dòng)被偷窺甚至直播。這個(gè)消息一經(jīng)發(fā)布，不少市民都感到吃驚與憤怒。被民眾視為家庭安全盾牌的智能攝像頭卻淪為隱私泄露漏洞，這讓民眾的安全體驗(yàn)感嚴(yán)重下降。智能攝像頭的漏洞不僅泄露個(gè)人隱私和敏感信息，也危害互聯(lián)網(wǎng)的安全。黑客攻擊引發(fā)互聯(lián)網(wǎng)大規(guī)模癱瘓的事件在美國(guó)和歐洲一些國(guó)家時(shí)有發(fā)生。

1.2 ?安全隱患背后的原因

根據(jù)現(xiàn)在的調(diào)查結(jié)果和攻擊情況來(lái)看，智能攝像頭目前存在的安全隱患主要有以下幾個(gè)方面：

（1）弱口令。業(yè)內(nèi)專家發(fā)現(xiàn)，黑客破解攝像頭主要依靠掃描器，用廠家預(yù)設(shè)的用戶名和密碼等弱口令進(jìn)行大范圍的掃描，如user、admin、root之類常見(jiàn)而簡(jiǎn)短的密碼。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在市場(chǎng)占有率排名靠前的攝像頭品牌中隨機(jī)挑選了兩個(gè)品牌，進(jìn)行弱口令漏洞分布盲測(cè)，結(jié)果檢測(cè)出十幾萬(wàn)個(gè)弱口令漏洞?？梢哉f(shuō)，口令是智能攝像頭安全防護(hù)的第一道和最直接的防護(hù)措施。弱口令成為危害家庭攝像頭安全的頭號(hào)隱患。

（2）系統(tǒng)安全防護(hù)功能缺位。很多家用的智能攝像頭由工業(yè)攝像頭演變而來(lái)，相較于安全性，廠商更加注重功能性及用戶體驗(yàn);加之國(guó)內(nèi)市場(chǎng)價(jià)格競(jìng)爭(zhēng)激烈，安全成本對(duì)產(chǎn)品的競(jìng)爭(zhēng)力的影響不可小覷，部分山寨廠商在利潤(rùn)的驅(qū)逐下甚至直接忽視安全因素，成為國(guó)內(nèi)智能設(shè)備在安全方面亂象層出的主要原因。

南昌大學(xué)信息工程學(xué)院教授徐子晨指出，每一臺(tái)智能攝像頭都可以被稱為是一個(gè)電腦，但是因?yàn)橹悄軘z像頭專注于攝像這個(gè)功能，那么它就把很多交換機(jī)里面必要的模塊去除了，其中一個(gè)很重要的部分就是網(wǎng)絡(luò)安全檢測(cè)，或者防范攻擊防火墻的功能。一般我們家庭網(wǎng)絡(luò)里面的防火墻又做得比較初級(jí)的情況下，黑客是很容易通過(guò)掃描IP或廣播的方式找到易受攻擊的攝像頭。

（3）數(shù)據(jù)傳輸和存儲(chǔ)未進(jìn)行加密。根據(jù)要求，攝像頭與接收終端的通信過(guò)程應(yīng)當(dāng)進(jìn)行數(shù)據(jù)加密，并且明文傳輸。現(xiàn)在的網(wǎng)絡(luò)服務(wù)安全方面，除了用戶自己的用戶名和密碼之外，服務(wù)提供商也會(huì)對(duì)用戶的信息和數(shù)據(jù)再加密一次，防止黑客暴力破解用戶密碼后直接獲取到相關(guān)數(shù)據(jù)。而目前市場(chǎng)上的很多智能攝像頭，雖然要求通過(guò)掃描二維碼等方式綁定手機(jī)，攝像頭的設(shè)備綁定具備了一定的強(qiáng)度;但是因?yàn)椴捎昧宋醇用艿臄?shù)據(jù)傳輸方式，導(dǎo)致存在極高風(fēng)險(xiǎn)的安全漏洞。質(zhì)檢總局對(duì)外公布的調(diào)查報(bào)告顯示，40個(gè)批次的樣品中有28批次數(shù)據(jù)傳輸沒(méi)有加密！因此，即便很多用戶設(shè)置了復(fù)雜的用戶名和密碼，家用攝像頭仍然容易被暴力破解和控制。

雜牌機(jī)在這方面幾乎是不設(shè)防的。對(duì)于這樣的設(shè)備，不管用戶使用多么復(fù)雜的密碼，只要黑客愿意，通過(guò)密碼庫(kù)、暴力破解等方法解開(kāi)密碼其實(shí)并不困難。但對(duì)于數(shù)據(jù)單獨(dú)加密的攝像頭來(lái)說(shuō)，破解了用戶的登錄密碼也無(wú)法獲得攝像頭的監(jiān)控權(quán)，就拿某個(gè)品牌的攝像頭來(lái)說(shuō)，用戶通過(guò)攝像頭錄制在手機(jī)、電腦甚至是云端的視頻都會(huì)經(jīng)過(guò)嚴(yán)格的加密，而在用戶訪問(wèn)攝像機(jī)時(shí)，后臺(tái)也會(huì)啟用動(dòng)態(tài)密碼，防止陌生人盜用，并且用戶也能夠再單獨(dú)設(shè)定一個(gè)訪問(wèn)攝像頭的密碼，可以說(shuō)做到了全方位的保護(hù)。

（4）身份認(rèn)證機(jī)制缺失。有些智能攝像頭的移動(dòng)應(yīng)用賬號(hào)認(rèn)證系統(tǒng)設(shè)計(jì)不規(guī)范，缺乏身份認(rèn)證機(jī)制，隨便輸入一個(gè)手機(jī)號(hào)都能夠注冊(cè)賬號(hào)，進(jìn)而通過(guò)這個(gè)賬號(hào)綁定同一品牌下所有的智能攝像頭，橫向越權(quán)查看所綁定攝像頭的視頻。由于沒(méi)有身份認(rèn)證，會(huì)給不法分子以可乘之機(jī)，而且發(fā)現(xiàn)安全問(wèn)題后，對(duì)于侵入行為無(wú)法溯源，也很難追究其法律責(zé)任。

（5）其他原因。360攻防實(shí)驗(yàn)室發(fā)布了《國(guó)內(nèi)智能家庭攝像頭安全狀況評(píng)估報(bào)告》，報(bào)告發(fā)現(xiàn)導(dǎo)致智能攝像頭存在安全隱患的原因主要集中在：用戶隱私泄露、無(wú)人機(jī)識(shí)別機(jī)制、多數(shù)智能設(shè)備可橫向控制、未加密數(shù)據(jù)傳輸、未對(duì)客戶端進(jìn)行安全加固、代碼邏輯設(shè)計(jì)缺陷、存在硬件調(diào)試接口、未對(duì)啟動(dòng)程序進(jìn)行保護(hù)和沒(méi)有遠(yuǎn)程更新機(jī)制這9大風(fēng)險(xiǎn)。另外，路由器的安全問(wèn)題也是家庭網(wǎng)絡(luò)安全的重要節(jié)點(diǎn)。一旦路由器的密碼被攻破，對(duì)于黑客來(lái)說(shuō)家里所有連接路由器的設(shè)備都“唾手可控”。所以，路由器的安全防護(hù)也涉及智能攝像頭的安全，同樣不可小覷。

大家同樣要非常注重路由器的安全，一定要修改admin這樣的登錄密碼，還可以關(guān)閉無(wú)線廣播功能，這樣其他用戶就不能搜到你的路由器了，安全性可以大幅提升。

2 ?安全防護(hù)措施

智能攝像頭無(wú)疑為我們的生活帶來(lái)了極大便利，因噎廢食大可不必。我們應(yīng)當(dāng)如何安全地使用家庭攝像頭呢？筆者認(rèn)為主要可以從以下幾個(gè)方面來(lái)加強(qiáng)防護(hù)安全。

首先，選擇正規(guī)品牌的攝像頭產(chǎn)品，切勿購(gòu)買“三無(wú)”產(chǎn)品，并注意相關(guān)部門發(fā)布的產(chǎn)品質(zhì)量信息。購(gòu)買產(chǎn)品前應(yīng)仔細(xì)辨別相關(guān)產(chǎn)品是否具備身份認(rèn)證機(jī)制等安全防護(hù)程序。同時(shí)，在安裝的過(guò)程中要慎重考慮廠家關(guān)于收集、保存和使用用戶信息的要求。市場(chǎng)上的智能攝像頭質(zhì)量參差不齊，消費(fèi)者應(yīng)綜合選擇安全防護(hù)性高的品牌，從硬件上保證安全防護(hù)的底線不被突破。

其次，設(shè)置安全密碼，及時(shí)更新智能攝像頭操作系統(tǒng)版本和相關(guān)的移動(dòng)應(yīng)用，養(yǎng)成定期殺毒的好習(xí)慣。專家建議用戶在啟用智能攝像頭前要做的第一件事就是修改密碼，而且要定期進(jìn)行更換。同時(shí)及時(shí)地更新最新補(bǔ)丁及固件，養(yǎng)成定期查殺病毒的好習(xí)慣。

再次，應(yīng)經(jīng)常登錄攝像頭進(jìn)行查看，攝像頭切勿正對(duì)臥室、浴室等私密區(qū)域，如發(fā)現(xiàn)攝像頭的角度發(fā)生變化，就需留意賬號(hào)安全。另外，要隨時(shí)關(guān)注手機(jī)移動(dòng)應(yīng)用軟件的提醒。如果綁定的手機(jī)收到了驗(yàn)證碼短信，應(yīng)及時(shí)修改密碼。

最后，應(yīng)制定家用智能攝像頭的安全信息標(biāo)準(zhǔn)，推動(dòng)廠家提高產(chǎn)品的信息安全防護(hù)能力，這才是從根本上解決家用智能攝像頭安全的關(guān)鍵所在。目前，我國(guó)還沒(méi)有針對(duì)家用智能攝像頭的行業(yè)標(biāo)準(zhǔn)，呼吁政府部門推動(dòng)行業(yè)協(xié)會(huì)先行制定行業(yè)標(biāo)準(zhǔn)，并盡快制定強(qiáng)制檢查制度。在此之前，監(jiān)管部門應(yīng)該加強(qiáng)對(duì)智能攝像頭的質(zhì)量安全監(jiān)管和曝光力度。

3 ?智能攝像頭安全法律分析

3.1 ?現(xiàn)行法律分析

從現(xiàn)行的法律法規(guī)來(lái)看，并沒(méi)有針對(duì)家庭智能攝像頭安全設(shè)置專門的法律規(guī)定，但在現(xiàn)行的法律框架內(nèi)還是有法律依據(jù)可循。

3.1.1 ?行政責(zé)任

暴力破解智能攝像頭賬號(hào)和密碼并在網(wǎng)上公開(kāi)出售的行為涉嫌非法獲取、出售公民個(gè)人信息、散布他人隱私，可按照《中華人民共和國(guó)治安管理處罰法》第四十二條的規(guī)定按情節(jié)做出罰款或拘留的處罰決定。

制作、傳播和出售從攝像頭中獲取的隱私視頻牟利，可按照《中華人民共和國(guó)治安管理處罰法》第六十八條的規(guī)定做出罰款或拘留的處罰決定。

3.1.2 ?刑事責(zé)任

（1）侵犯公民個(gè)人信息罪。破解獲取智能攝像頭賬號(hào)和密碼并出售的行為，涉嫌侵犯公民個(gè)人信息罪。根據(jù)《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第一條的規(guī)定，明確賬號(hào)密碼和行蹤軌跡屬于公民個(gè)人信息，非法獲取、出售或者提供50條以上即涉嫌構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)《中華人民共和國(guó)刑法》第253條的規(guī)定，違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。竊取或者以其他方法非法獲取公民個(gè)人信息的，依照第一款的規(guī)定處罰。

（2）傳播淫穢物品罪和制作、販賣、傳播淫穢物品牟利罪。對(duì)于非法侵入家用智能攝像頭并截取攝像頭中的性行為視頻進(jìn)行制作、傳播的，涉嫌構(gòu)成傳播淫穢物品罪;如果傳播者因此牟利，將涉嫌構(gòu)成傳播淫穢物品牟利罪?！吨腥A人民共和國(guó)刑法》第三百六十三條、第三百六十四條和《關(guān)于辦理利用互聯(lián)網(wǎng)、移動(dòng)通訊終端、聲訊臺(tái)制作、復(fù)制、出版、販賣、傳播淫穢電子信息刑事案件具體應(yīng)用法律若干問(wèn)題的解釋（一）》《關(guān)于辦理利用互聯(lián)網(wǎng)、移動(dòng)通訊終端、聲訊臺(tái)制作、復(fù)制、出版、販賣、傳播淫穢電子信息刑事案件具體應(yīng)用法律若干問(wèn)題的解釋（二）》和《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》等相關(guān)司法解釋，具體明確了上述違法犯罪行為的構(gòu)成要素。

3.2 ?可行性法律分析

對(duì)于守護(hù)智能攝像頭安全的第一道防線的攝像頭生產(chǎn)廠家和銷售商家，國(guó)家相關(guān)部門應(yīng)該盡快制定出臺(tái)相應(yīng)的物聯(lián)網(wǎng)安全技術(shù)標(biāo)準(zhǔn)和強(qiáng)制性要求，明確智能攝像頭必須具備健全的身份識(shí)別模塊、系統(tǒng)安全防護(hù)功能、存儲(chǔ)和傳輸數(shù)據(jù)加密功能等基本安全措施，以便進(jìn)行安全測(cè)評(píng)和認(rèn)證。同時(shí)，制定相應(yīng)的法律法規(guī)，對(duì)于明顯不符合安全標(biāo)準(zhǔn)的產(chǎn)品，責(zé)令停止生產(chǎn)和銷售;對(duì)產(chǎn)品存在的安全缺陷和漏洞等風(fēng)險(xiǎn)未及時(shí)采取補(bǔ)救措施或未按照規(guī)定及時(shí)告知消費(fèi)者和相關(guān)部門的，由主管部門對(duì)涉事企業(yè)采取責(zé)令改正、責(zé)令召回、罰款、停業(yè)整頓或吊銷營(yíng)業(yè)執(zhí)照等行政處罰措施。

4 ?結(jié) ?論

智能攝像頭作為防衛(wèi)網(wǎng)絡(luò)安全的重要組成部分，其安全至關(guān)重要。綜上所述，鑒于現(xiàn)行法律法規(guī)只有籠統(tǒng)規(guī)定，行政管理部門無(wú)法對(duì)智能攝像頭的安全進(jìn)行有效監(jiān)管;同時(shí)，現(xiàn)行的法律法規(guī)也無(wú)法為行政管理部門和司法部門提供執(zhí)法依據(jù)。盡快制定和出臺(tái)針對(duì)智能攝像頭的安全技術(shù)標(biāo)準(zhǔn)和專門性法律法規(guī)，明確行政管理部門的管理職能和司法機(jī)關(guān)的執(zhí)法依據(jù)已經(jīng)迫在眉睫。

參考文獻(xiàn)：

[1] 李俊艷.電信運(yùn)營(yíng)商業(yè)務(wù)平臺(tái)安全防護(hù)體系規(guī)劃 [J].信息技術(shù)與信息化，2017（Z1）：18-21.

[2] 張國(guó)華.主機(jī)數(shù)據(jù)泄露防護(hù)技術(shù)研究 [D].南京：南京大學(xué)，2012.

[3] 張文禮.質(zhì)檢總局發(fā)布智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)警示 [N].中國(guó)質(zhì)量報(bào)，2017-06-19（第2版）.

[4] 馮松齡.八成智能攝像頭樣品存安全隱患 [N].中國(guó)消費(fèi)者報(bào)，2017-06-21（第1版）.

[5] 李曉磊.“智能攝像頭”破解調(diào)查：偷窺隱私已成利益鏈 [J].法治與社會(huì)，2017（9）：62-64.

作者簡(jiǎn)介：鮑敏（1982-），女，漢族，山東人，警務(wù)技術(shù)一級(jí)主管，法律碩士，研究方向：民商法方向。