網(wǎng)絡(luò)攝像頭近些年被廣泛應(yīng)用于家庭看護(hù)、安全監(jiān)控、遠(yuǎn)程協(xié)作等場景。由于網(wǎng)絡(luò)攝像頭需依托互聯(lián)網(wǎng)實現(xiàn)實時監(jiān)控、云端存儲等功能，如果安全防護(hù)不足，可能成為不法分子攻擊目標(biāo)。

近期，北京市互聯(lián)網(wǎng)信息辦公室聚焦網(wǎng)絡(luò)攝像頭隱私泄露風(fēng)險，開展了專項遠(yuǎn)程技術(shù)檢測，僅未授權(quán)訪問漏洞類問題就發(fā)現(xiàn)200余個，無需身份驗證就可以獲取攝像頭控制權(quán)限，查看實時監(jiān)控畫面。檢測中還發(fā)現(xiàn)，集成大量攝像頭設(shè)備的管理平臺問題尤為突出，經(jīng)對某監(jiān)控系統(tǒng)綜合管理平臺開展檢測，該平臺全國共625個互聯(lián)網(wǎng)資產(chǎn)中，有219個存在未授權(quán)訪問漏洞，問題檢出率高達(dá)35%。

問題1：設(shè)備存在安全缺陷，廠家未及時更新固件

測試人員發(fā)現(xiàn)部分設(shè)備版本老舊未及時更新固件，存在安全缺陷，可以利用漏洞登錄。北京市網(wǎng)信辦供圖

根據(jù)發(fā)現(xiàn)的安全隱患，北京市網(wǎng)信辦梳理了三類主要問題：設(shè)備自身安全缺陷、用戶安全意識不足、監(jiān)控平臺管理不到位。

在遠(yuǎn)程技術(shù)檢測中，測試人員發(fā)現(xiàn)某網(wǎng)絡(luò)攝像頭設(shè)備由于未及時更新固件，設(shè)備版本老舊，存在未授權(quán)訪問漏洞。測試人員可以通過漏洞利用對攝像頭配置文件進(jìn)行解碼，進(jìn)一步獲取賬號和密碼信息，登錄查看攝像頭實時畫面，實現(xiàn)對攝像頭的遠(yuǎn)程控制。

北京市網(wǎng)信辦技術(shù)人員表示，攝像頭廠商應(yīng)該及時發(fā)現(xiàn)設(shè)備安全缺陷并推送固件更新。也有部分用戶收到推送后沒有及時更新，技術(shù)人員建議，廠商在推送時可在醒目位置提醒用戶存在的風(fēng)險，讓用戶了解更新固件的必要性。

問題2：用戶安全意識不足，還在使用默認(rèn)用戶名、密碼

測試人員發(fā)現(xiàn)部分用戶開啟RTSP協(xié)議時未設(shè)置身份驗證、仍使用出廠默認(rèn)口令，存在安全隱患。北京市網(wǎng)信辦供圖

通過對某家庭用戶的網(wǎng)絡(luò)攝像頭遠(yuǎn)程檢測，測試人員發(fā)現(xiàn)用戶開啟了RTSP協(xié)議，但未設(shè)置身份驗證措施。沒有這層保護(hù)，測試人員可直接通過視頻工具連接訪問攝像頭，獲取家庭實時監(jiān)控圖像。測試人員還發(fā)現(xiàn)，一部分老款設(shè)備仍在使用出廠默認(rèn)口令，用戶名、密碼防護(hù)能力非常弱，攻擊者可使用默認(rèn)口令登錄，查看攝像頭實時畫面并遠(yuǎn)程控制。

北京市網(wǎng)信辦技術(shù)人員解釋，RTSP是網(wǎng)絡(luò)攝像頭普遍支持的基本通信協(xié)議，常用于圖像數(shù)據(jù)傳輸，開啟該協(xié)議后可將實時視頻流傳輸?shù)奖O(jiān)控中心或客戶端，因此身份驗證非常必要。技術(shù)人員建議，攝像頭廠商可以要求用戶在設(shè)置身份驗證后，方可開啟RTSP協(xié)議。

技術(shù)人員告訴記者，當(dāng)前隨著管理部門的督促力度加大和廠商的安全意識提升，市場上銷售的網(wǎng)絡(luò)攝像頭大多需要先設(shè)置強口令方能使用。對于還在使用默認(rèn)用戶名、密碼的老款設(shè)備，他建議用戶盡快更改。

問題3：監(jiān)控平臺權(quán)限管理不到位，可直接控制學(xué)校全部攝像頭

測試人員發(fā)現(xiàn)有學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞，登錄后可控制學(xué)校全部攝像頭。北京市網(wǎng)信辦供圖

測試人員發(fā)現(xiàn)，某學(xué)校監(jiān)控系統(tǒng)綜合管理平臺存在未授權(quán)訪問漏洞，通過漏洞可獲取平臺用戶名、密碼，登錄管理平臺獲取管理員權(quán)限，控制平臺內(nèi)45個用戶共281個攝像頭，可任意更改平臺相關(guān)配置，獲取所有攝像頭監(jiān)控圖像。

北京市網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)處孟翔告訴記者，上述攝像頭可以查看宿舍、后廚、餐廳甚至是校領(lǐng)導(dǎo)辦公室。綜合視頻監(jiān)控管理平臺在學(xué)校、銀行、企業(yè)使用較多，往往同時連接管理大量網(wǎng)絡(luò)攝像頭設(shè)備。通過未授權(quán)訪問漏洞，攻擊者不僅能查看實時監(jiān)控，還可利用管理員權(quán)限，更大程度上控制攝像頭，埋下較大安全隱患。

“整體來看，網(wǎng)絡(luò)攝像頭安全形勢逐漸向好，但未授權(quán)訪問、默認(rèn)口令、弱口令等安全風(fēng)險仍不在少數(shù)，且大多數(shù)分布于版本老舊的設(shè)備或系統(tǒng)內(nèi)，存在隱私泄露風(fēng)險。”孟翔介紹。

網(wǎng)絡(luò)安全公司BitSight此前發(fā)表的研究報告顯示，全球有超過4萬臺聯(lián)網(wǎng)監(jiān)控攝像頭在未設(shè)密碼的情況下向互聯(lián)網(wǎng)公開傳輸實時畫面，極大暴露了家庭與辦公隱私，成為攻擊者眼中的“偷窺利器”。研究人員稱，地下論壇已有大量黑客設(shè)法搜集這些攝像頭IP信息，并將其打包出售。

針對發(fā)現(xiàn)的問題，北京市網(wǎng)信辦指出，網(wǎng)絡(luò)攝像頭廠商應(yīng)對密碼強度做明確要求，強化端到端加密傳輸；明確告知用戶數(shù)據(jù)存儲位置及用途，避免過度收集；?建立完善的漏洞管理體系和固件更新推送渠道，及時推送并提醒用戶更新升級。

同時，北京市網(wǎng)信辦提醒用戶加強個人隱私保護(hù)意識，通過正規(guī)渠道購買網(wǎng)絡(luò)攝像頭，避免購買“三無”產(chǎn)品；注意攝像頭安裝位置，不使用時可遮擋鏡頭或斷電；不隨意共享設(shè)備權(quán)限，優(yōu)先選擇本地存儲模式；加強密碼管理，避免使用默認(rèn)口令或弱口令。

新京報記者 行海洋

編輯 張樹婧 校對 李立軍