小心啦！家用摄像头曝惊人Bug：隐私遭直播

昨天下午，实验室安全研究员王先生，为记者演示了通过软件漏洞获取已绑定手机用户摄像头实时画面的全过程。记者发现，王先生所使用的工具仅为一台已经联网的电脑，一部手机以及一段自行编写的代码。

演示过程开始前，王先生首先在手机上下载了某品牌家用摄像头的APP软件，随后注册账号，但并没绑定任何摄像头，此时其页面中摄像头列表显示为空。

随后，王先生在电脑软件上输入刚刚注册的账号、密码，并在电脑上运行其编写的代码。随着代码的运行，手机APP页面上立即出现多个摄像头监控画面的预览图，且随着时间的推移数量逐渐增多，随机点开其中一个，经过短暂加载，摄像头远程传输的画面开始播放，且清晰度相当高，甚至可以辨别用户家电视中播放的电视画面。除此，在代码脚本运行过程中，大量用户注册时使用的手机号码也一同显示在屏幕上。

王先生表示，通过视频中的不同场景可以明显看出，这些画面并不仅限于某一个用户安装的摄像头的拍摄画面。“如果需要的话，(别有用心的人)可以将所有注册此APP的用户信息全部弄出来，然后根据单个用户的手机号码定位到某个特定用户身上”，从而实施针对性极强的个别用户信息窃取活动。而只要轻轻点击手机APP软件上的录制按钮，盗取的画面就会轻松地保存下来。

而对于这段作为工具的代码，王先生称，只要有一定编程知识和经验的人都可以完成，并不存在特别高的技术门槛，“就现在而言，能够编写这种代码的人还是很多的。”

□结论

八成家用摄头存在安全漏洞

在一份题为《摄像头横向测试表》的文件中记者发现，技术人员对目前市面上多个品牌的摄像头，进行了“手机控制终端”、“云端应用安全”、“设备终端安全”三个大项30多个小项的测试，结果所涉猎品牌均或多或少存在安全问题。

安全研究员王先生告诉记者，从测试结果来看，目前，有关视频画面泄露的问题主要集中在摄像头软件云端逻辑漏洞和手机APP软件漏洞两个方面，“其他可能导致信息泄露的问题也存在，但是相比之下数量较少。”

王先生所在的实验室在对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现，近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。

据安全工程师刘健皓介绍，这些安全缺陷的存在让接入网络的摄像头可以轻易被不法分子控制，随时获取摄像头的图像和语音信息，对安装摄像头的家庭或公司进行监控甚至网上直播。

刘健皓解释，从理论上讲，通过手机远程查看到摄像头内容，必须通过注册，甚至要求“一对一”。但是，个别品牌的摄像头与手机进行连接时，并没有对手机身份进行验证，这是一个非常严重的漏洞。黑客可以通过漏洞，用一个虚拟的绑定就可以查看数百个摄像头实时画面，而出现此漏洞的摄像头至少有数十款，其中包括了一些著名品牌。

□建议