涉事产品来自中国?荷兰成千上万的智能摄像头存在恶意窥视的风险
据悉,荷兰成千上万的智能监控摄像头和婴儿监护器存在被恶意人员随意窥视的风险。由于电子邮箱地址和密码的泄漏,使得不法分子可以随便访问这些智能设备。据RTL Nieuws的调查,事件中涉及来自中国品牌Apexis旗下Sumpple子品牌的14,000台设备,这些设备在亚马逊、AliExpress和Wish等处都有销售,另外Bol.com上也有部分涉事的Apexis产品在销售。
据称如果被人获取到了这些设备的使用权限,那么你就可以进行远程观看、转动相机或者通过扬声器讲话,甚至还可以进行录像。 “这太可怕了”网络安全公司Fox-IT的Frank Groenewegen说,“理想情况下,人们在家中必须是享有隐私权的。”
由于摄像头绑定到电子邮箱地址,因此入侵者经常会知道他们在偷窥的人是谁。
例如,你在一个摄像头的画面中看到,有几只猫在在客厅里玩玩耍。而这个摄像头的拥有者是一位三十多岁的女人,她购买该设备为了能不时地看下她的宠物。而很重要的一点是,即使这个女人在家,这个摄像头也是全天运转着的。同样的情况也出现在一个婴儿室中带摄像头的婴儿监护器,这个监护器还显示着尿布台的画面。
数以千计的密码泄漏
Sumpple的母公司Apexis将用户的电子邮箱地址和密码存储在数据库中。但是由于该数据库所用的密码实在太糟糕了,这导致能相当容易就获得该数据库访问权限,以访问这些高度敏感的数据。
而且这全球数十万用户的密码并未做加密存储处理,被一览无遗。另外,更让人胆颤的是,该数据库还包含来自摄像头的位置数据。
对于Apexis的Sumpple旗下这样的摄像头,即使使用的是强密码也没有任何作用。因为无论密码多么复杂,都可以在泄漏的数据中简单地看到它们。另外,更改密码也没有任何意义,因为新密码同样存储在安全性较差的数据库中。
另一个危险的情况是,人们还会在其他地方使用和其智能摄像头一样的密码。这类似于之前荷兰人泄露的密码的情况一样:其中有一些很好的很独特的密码,很可能会被用于其它的在线服务平台上。
这个安全性如此差的服务器是由Arcanum Group发现的,Arcanum Group是一个匿名的黑客团体。他们在8月初向Apexis和Sumpple报告了泄漏情况,但没有听取。发言人说:“由于婴儿监护仪中涉及儿童,因此我们不得不通过媒体告知人们这种泄漏。”
Apexis和Sumpple也未对RTL Nieuws的重复的审问做出回应。Fox-IT的Groenewegen认为该公司没有做出回应是“荒唐的”。“你应立即将此产品从市场上撤下,并应联系制造商并要求其对此负责,不然将面临罚款。”
由于修改后的密码也存储在安全性较差的数据库中,因此Apexis和Sumpple摄像头的使用者唯一的解决方案就是拔下插头并停止使用该设备。Groenewegen说:“到商店退货,因为这是不安全的产品,这是不合格的产品。请要回你所付的钱。”
购买智能摄像头时请注意以下几点:
- 购买相对知名品牌设备;
- 查看摄像头是否有物理滑盖,以便你回家时可以用来遮盖镜头;
- 放置摄像头时,请记住,黑客有可能会接管设备并截获相应的图像;
- 始终为摄像头系统升级到最新版;
- 为你的摄像头或其帐户设置一个强密码,这个密码尽量不要在其他地方使用;
质量认证
荷兰政府正在与欧盟委员会合作推出智能设备的质量认证标志。不符合此质量认证标准的设备将由AT从市场上移除。AT发言人表示,该标准最早将于2021年获得通过。
Groenewegen也表示:“消费者只能够假定他们从商店中购买到的所有产品都是质量好的产品,数码产品也一样。如果没有这样的认证标志,制造商将会继续生产不安全的产品,消费者也没从得知哪些是安全的产品,哪些是不安全的。”
本文部分内容编译自rtlz.nl和网络,如觉得侵犯您的版权请跟帖告知。
页:
[1]