苹果新机的发布让世人感慨：刷脸时代已经到来。无论是刷脸认证还是视频监控，都离不开摄像头。互联网时代，摄像头还安全吗？本期华商报“好奇心”给你解答这个热点话题。

　　■实验时间：9月13日

　　■实验地点：西安四叶草信息技术有限公司

　　■实验人员：CloverSec实验室安全研究员余俊峰、王明星，华商报记者

　　■实验顾问：国内知名网络安全专家、四叶草公司CEO马坤

　　相关新闻

　　IP地址被公开叫卖 不少摄像头存在被攻击风险

　　“对着卧室的摄像头IP地址10元一个，拍摄到激情画面的20元一个。”原本用来看护家里老人孩子或用作防盗的摄像头，竟然被不法分子在网上公开叫卖。

　　7月14日，北京警方破获一起网上传播家庭摄像头破解软件案，抓获涉案人员24名。嫌疑人交代，他们非法获取某品牌摄像头破解软件，利用黑客手段破解网络摄像头IP，然后在QQ群中出售。

　　据了解，目前我国家用摄像头保有量为4000万至5000万个，其中一些存在被攻击风险。

　　实验验证

　　实验1：监控摄像头泄密 通过电脑可看到国外超市收银台

　　余俊峰介绍，为研究互联网摄像头的安全性，他注意过一款软件。该软件可扫描指定IP地址段的网络摄像头和路由器，而且会尝试破解用户名、密码。

　　他打开这个程序以前的扫描结果文件，文件中有很多互联网摄像头IP地址。每一个IP就对应着某处的一个摄像头。这些IP地址用户名大多数是默认的“admin”，密码则是初始密码居多。

　　打开其中一个摄像头IP，输入破解出来的用户名和密码后，摄像头的监控画面赫然出现在眼前。画面是一棵树，在风中摇曳。做实验时是上午11时许，但画面看起来却像是凌晨5时许。从IP地址和时区来看，应该是欧洲某国。打开另一个IP，监控画面显示的是一个商店或超市，摄像头似乎正对着收银台。

　　【实验总结】互联网摄像头若一直使用默认用户名和弱口令，就几乎等同于公共平台，无法保护隐私。

　　余俊峰说，尽管没有对家用室内互联网摄像头进行实验，其原理是一样的。不少家庭路由器使用的是默认用户名和密码，所连接的互联网摄像头也是这样，泄密隐患极大。

　　实验2：手机被植木马后 摄像头可能让人直接看到你

　　手机摄像头会不会也存在泄密隐私的风险？

　　王明星表示有可能。他也用实验证明了这一点。

　　他在一部实验用手机上安装了一个伪装为正常应用程序的木马，然后开始在电脑上进行操作。

　　电脑端打开的正是操控手机木马的后台程序。他输入命令，让实验手机调用摄像头。很快，手机上出现了权限调用提醒：“×××试图使用摄像头”，下面有“允许”和“拒绝”两个选项。选择“允许”后，很快电脑上便出现了室内场景。

　　华商报记者将手机拿到窗口，让摄像头对着窗外，楼下马路上车辆穿梭和行人过马路的场景，便出现在电脑屏幕上。

　　接下来，王明星又输入了其他命令，手机都忠实地执行着攻击者的意图。手机完全成了“双面间谍”，表面上给机主服务，其实同时也在“忠实”地执行着网络攻击者的命令。

　　【实验总结】平时使用手机一定要注意安全防护，发现异常要及时处理。余俊峰提醒，当手机运行突然变慢，或没人操作手机某个程序却突然打开，或者应用程序列表中出现陌生程序名称，就极有可能是中了木马病毒，一定要尽快处理。

　　专家提醒

　　不要用默认用户名和密码 家用摄像头不要对着床

　　去年5月，360攻防实验室曾发布过家用摄像头存在9大类安全风险：用户隐私泄露、未加密数据传输、无人机识别机制、多数智能设备可横向控制、未对客户端进行安全加固、代码逻辑设计缺陷、存在硬件调试接口、未对启动程序进行保护和没有远程更新机制等。据介绍，安全风险相对突出的是一些与外网相连的摄像头。

　　那么和网络摄像头相比，局域网摄像头是不是更安全？

　　马坤提醒，网络摄像头有安全隐患，但通过升级可以从程序上进行封堵。局域网摄像头要升级系统，相对来说就比较困难。现在公共基础设施包括交通、金融领域等方面，在内部网络里也常常安装使用摄像头，这些摄像头对着的大都是敏感或关键部位。局域网摄像头一旦被黑客从内部攻击，这些局域网就会成为僵尸网络而被黑客利用。病毒和木马在找到出口后，很快就会将信息披露到外网，从而造成大面积的网络安全事件。

　　至于手机摄像头，由于和人更接近，一旦被黑客攻击利用，隐私或重要信息泄露的情况可能会更严重。余俊峰提醒，网络安全都是相对的，没有什么可以保证绝对安全。所以，使用网络摄像头不要对着容易暴露隐私的位置，比如不要对着床和卫生间等。

　　华商记者 马虎振 摄影 黄利健