當前位置：首頁 > 安全工程師 > 正文

注冊安全工程師2011版還能用嗎注冊安全工程師2011真題

建造師
安全工程師
2025-01-23
229

　　案例

　　張女士：客廳照片外泄被掛網上照片角度和手機APP上畫面一模一樣

　　今年3月末，北京市海淀區的張女士和老公通過網站購買了一組某知名品牌的遠程監控攝像頭，并安裝在客廳、臥室、廚房等多個位置。

　　然而，就在今年4月中旬，張女士卻無意間發現自家客廳的截圖被掛在網頁上。張女士稱，在此之前，她和家人從來沒邀請或允許任何網站的人到家中拍照片，“照片的角度就是從掛攝像頭的位置拍攝的，而且畫質、顏色都和手機APP上的實時畫面一模一樣。”

　　此后，張女士設法與該網站取得了聯系，對方很快將網上照片刪除。“對方說，圖片不是他們拍攝的，而是從網上下載的，我繼續追問圖片來源，對方拒絕回答。”

注冊安全工程師2011版還能用嗎注冊安全工程師2011真題第1張

　　“我們懷疑和家里裝的攝像頭有關。”無奈之下，張女士只能將所有攝像頭和相應的手機APP全部卸載。

　　實驗

　　破解代碼可竊取實時畫面且清晰度高

　　昨天下午，實驗室安全研究員王先生，為記者演示了通過軟件漏洞獲取已綁定手機用戶攝像頭實時畫面的全過程。記者發現，王先生所使用的工具僅為一臺已經聯網的電腦，一部手機以及一段自行編寫的代碼。

　　演示過程開始前，王先生首先在手機上下載了某品牌家用攝像頭的APP軟件，隨后注冊賬號，但并沒綁定任何攝像頭，此時其頁面中攝像頭列表顯示為空。

　　△電腦輸入代碼后通過手機觀看

　　隨后，王先生在電腦軟件上輸入剛剛注冊的賬號、密碼，并在電腦上運行其編寫的代碼。隨著代碼的運行，手機APP頁面上立即出現多個攝像頭監控畫面的預覽圖，且隨著時間的推移數量逐漸增多，隨機點開其中一個，經過短暫加載，攝像頭遠程傳輸的畫面開始播放，且清晰度相當高，甚至可以辨別用戶家電視中播放的電視畫面。除此，在代碼腳本運行過程中，大量用戶注冊時使用的手機號碼也一同顯示在屏幕上。

　　王先生表示，通過視頻中的不同場景可以明顯看出，這些畫面并不僅限于某一個用戶安裝的攝像頭的拍攝畫面。“如果需要的話，(別有用心的人)可以將所有注冊此APP的用戶信息全部弄出來，然后根據單個用戶的手機號碼定位到某個特定用戶身上”，從而實施針對性極強的個別用戶信息竊取活動。而只要輕輕點擊手機APP軟件上的錄制按鈕，盜取的畫面就會輕松地保存下來。

　　結論

　　八成家用攝頭存在安全漏洞可隨時獲取攝像頭圖像、語音信息

　　安全研究員王先生告訴記者，從測試結果來看，目前，有關視頻畫面泄露的問題主要集中在攝像頭軟件云端邏輯漏洞和手機APP軟件漏洞兩個方面，“其他可能導致信息泄露的問題也存在，但是相比之下數量較少。”

　　王先生所在的實驗室在對國內市場上銷售的近百個品牌的家用智能攝像頭進行安全評估測試后發現，近八成產品存在用戶信息泄露、數據傳輸未加密、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全缺陷。

　　△通過手機能看到別人家的攝像內容

　　據安全工程師劉健皓介紹，這些安全缺陷的存在讓接入網絡的攝像頭可以輕易被不法分子控制，隨時獲取攝像頭的圖像和語音信息，對安裝攝像頭的家庭或公司進行監控甚至網上直播。

注冊安全工程師2011版還能用嗎注冊安全工程師2011真題第2張

　　劉健皓解釋，從理論上講，通過手機遠程查看到攝像頭內容，必須通過注冊，甚至要求“一對一”。但是，個別品牌的攝像頭與手機進行連接時，并沒有對手機身份進行驗證，這是一個非常嚴重的漏洞。黑客可以通過漏洞，用一個虛擬的（端口）綁定就可以查看數百個攝像頭實時畫面，而出現此漏洞的攝像頭至少有數十款，其中包括了一些著名品牌。

　　建議

　　安全工程師：使用家用智能攝像頭這三點要注意！

　　針對如何能夠保障用戶使用家用智能攝像頭拍攝的個人隱私不被泄露的問題，軟件安全工程師提醒廣大用戶。

　　第一，在購買攝像頭時，應對所選品牌進行一些調查，可以通過互聯網查詢與目標品牌相關的帖子或報道，“目的就是找到一個口碑不錯，價格也合適的品牌”。

　　第二，在使用時，要注意設置一定強度的密碼，及時關注攝像頭軟件的提醒。如果綁定的手機上發現了請求驗證碼的短信，就應該立刻修改密碼。

　　第三，經常登錄攝像頭進行查看，如發現實際拍攝角度與安裝時發生變化等情況，就需要考慮自己的賬號安全了。同時，要關注所用品牌攝像頭安全方面的消息，如果發現設備漏洞應停止使用，等待廠家更新，并保證所使用的攝像頭軟件是最新版本。

　　有關部門須建立攝像頭安全標準

　　與此同時，安全工程師還針對家用智能攝像頭行業提出了建議。首先，有關部門亟須建立一套針對智能攝像頭的信息安全標準。其次，建議智能硬件開發商建立自己的運營平臺，以保護消費者的數據安全，及時發現并阻斷黑客的攻擊。最后，需要制定一套有效的應急響應預案，確保在安全漏洞出現后，能夠快速響應，并最大程度降低用戶的損失。

　　說法

　　偷窺侵犯個人隱私算犯法

　　根據我國治安管理處罰法的相關規定，偷窺、偷拍、竊聽、散布他人隱私的，處5日以下拘留或者500元以下罰款；情節較重的，處5日以上10日以下拘留，可以并處500元以下罰款。如通過偷窺形式獲得的他人私密照片，并上傳到網絡平臺，或者出售獲利的，將涉嫌構成刑事犯罪。另外，被侵權人有權向侵權人主張民事賠償責任。