誰攪黃了習近平的中國夢？北京政策6大敗筆；唐娟成為加大訪問學者
幕後操作人是他……

全球最大的威脅情報研究組織之一 Cisco Talos，最近發現了 Google 的 Nest Cam IQ 室內攝影機中的許多漏洞。思科 Talos 發現 IP 安全攝影機，存在多個可利用的問題。這些漏洞與 Weave 關聯，Nest 依賴於該協議，以使用戶能夠配置和建立設備的初始通信。

該漏洞可能使攻擊者能夠進行一系列攻擊，包括拒絕服務，代碼執行或資訊洩露。對手還可以控制受影響的設備。

乍看之下，很難確定該新聞對 IP 攝影機的當前安全狀態的含義。而且看似矛盾的資訊十分猖.。在此，我們提供有關 IP 攝影機安全性當前狀態的一些基本結論。

IP 攝影機仍然容易受到攻擊

與網路連接的攝影機應特別注意使用的規律性，它們以用戶可能無法預料的方式使用。 IP 攝影機在 2016 年 Mirai 殭屍網路中扮演了主角，這是一種 DDoS 攻擊，它關閉了大部分網路。由於無法在產品開發中優先考慮網路安全，因此這類設備的某些製造商應承擔部分責任，但另一個因素是用戶對默認用戶名和密碼的依賴。

特別是 Mirai 殭屍網路，已成為許多網路攝影機、DVR、路由器和其他設備使用默認密碼的趨勢。考慮到他們傾向於使用和重用不安全的密碼，此類設備的許多用戶，都會對此問題做出貢獻。此類設備的製造商可以在首次使用後，強制用戶更改此類密碼。

但是，另一個考慮因素是，安控攝影機和其他物聯網設備，可能使用未向用戶公開的默認用戶名和密碼，Verimatrix 首席戰略官 Asaf Ashkenazi 認為。此登錄資訊可能使攻擊者能夠打開遠端外殼。「在某些情況下，OEM 似乎有意為所有設備使用相同的默認密碼，因為它降低了製造成本，並可能減少了客戶支持電話，」 Ashkenazi 解釋說。

「如果看一下物聯網中的供應商，他們有兩件事很成問題，」 Ashkenazi 說。「他們承受著縮短上市時間的壓力。他們需要擊敗競爭對手，或者至少要在解決方案同時出局。」他們也有成本約束。

「如果您查看所連接的不同「事物」，無論是燈泡還是烤麵包機，那麼消費者都會期望這些產品的價格，」 Ashkenazi 說。 Cnet 最近宣佈，許多連接設備的價格持續下降，「 200美元安全控攝影機的時代已經過去。這種 20 美元的替代方案令人印象深刻。」可能是這種情況，但廉價安全攝影機的製造商提供的安全保護措施卻很少。

Ashkenazi 說，儘管消費者在閱讀到一台安全攝影機受損後會感到不安，但購買公眾卻很少將安全視為購買因素。「我們當然會查看價格，有時還會查看性能和產品評論。」消費者的優先考慮，最終決定了 IP 攝影機製造商的優先考慮。

儘管如此，Ashkenazi 還是承認，消費者通常很難確定一種產品是否比另一種產品更安全。「我希望將來，領先的消費類雜誌發布的產品評論，不僅會關注性能和用戶體驗，還會評估他們所評論產品的安全性，」 Ashkenazi 說。

媒體傾向於愛被盜的攝影機故事

有關被駭客入侵的攝影機的文章，通常引人注目。為了證明這一點，請看一下今年以來的故事，這些故事描述了透過 Nest 安控攝影機揚聲器或《福布斯》（Forbes）文章宣告的數百萬台中國攝影機「可能被駭客監視用戶」而發生的核攻擊騙局。

有關被盜攝影機的故事會激起原始情緒。「但我認為 IP 攝影機與其他智慧設備沒有根本的區別，」 Ashkenazi 說。為此，具有連接的烤麵包機的消費者，或列印機可能會避免此類設備的風險。

「但這並不總是關於（設備本身），」 Ashkenazi 說。但是，無論使用哪種類型的設備，使用未打補丁的網路設備的消費者（以及企業）都面臨風險。

「假設您沒有更新列印機。沒有人記得要更新列印機。」如果您的固件存在已知漏洞，例如基於 openSSL 的 Heartbleed，則攻擊者可以輕鬆地利用這種情況，來利用本地網路中的其他設備。

「在某些情況下，他們可以做到這一點，而無需破解您的 Wi-Fi 密碼，」 Ashkenazi 說。攻擊者可能無需克服最新的 Mac OS 或 Windows 安全保護，即可訪問本地網路可見的文件。「他們只能使用受損的列印機來訪問，連接到您內部網路的其他設備，」 Ashkenazi 說。

誰在（不是）透過您的 IP 攝影機查看？

當您使用連接網路的攝影機，或帶有整合攝影機的電腦或智慧手機時，可能會有其他人在窺視。該人不一定是「駭客」。據《衛報》報導，諸如 WhatsApp、Facebook、Snapchat、Instagram、Twitter、LinkedIn 和 Viber 等流行的智慧手機應用 App. 要求用戶授予對其攝影機和麥克風的訪問權限。這樣一來，該應用就可以訪問手機的兩個攝影機。

網路攝影機的安全性，絕不限於駭客攻擊。在物聯網搜索引擎 shodan.io 上花費足夠的時間，尋找流行的網路攝影機名稱，例如「 webcamXP」，您會發現提取隨機影像源非常容易。您可以單擊鏈接，並查看城市中心、零售店、划船碼頭和家庭環境的錄影。先前的一些媒體報導描述了對 IP 攝影機的駭客攻擊，這些攻擊者突出強調了使用不安全憑據（通常是默認用戶名和密碼）的受害者

例如，如果您安裝了流行的 Ring 攝影機，您可能還沒有完全意識到使用該設備會授予 Ring，並透過擴展將 Amazon 及其任何被許可方授予「無限」、「不可撤銷」、「永久」和「全球授權」重用、分發、儲存、刪除、翻譯、複製、修改、顯示、銷售您的影像素材。

該公司的服務條款還賦予 Ring 權力，可以「以任何目的，以任何媒體格式，在任何媒體管道中使用您的鏡頭」創建衍生作品，而無需向您賠償。

Nest 的服務條款和最近發布的隱私政策，目的在舒解消費者的隱私問題。該公司誓言將不使用其產品（包括 Nest IP 攝影機）中的視訊或音訊記錄進行廣告個性化。它確實確認計劃在醒話之後，使用基於文本的智慧揚聲器查詢（例如，「嘿，谷歌，您的預測是什麼？」）進行定向廣告。但是，用戶可以選擇退出這種形式的定向廣告。

Nest 的影像錄影政策，似乎比 Ring 的政策要窄：「只有當您或您家中的某人明確打開了攝影機，或啟用了需要它的功能時，您的攝影機才會向 Google 發送影像錄影。」

今年早些時候，Nest 面臨反彈，此前該公司承認未能披露其 Nest Secure 家庭安全設備包含麥克風。該公司的一份聲明說，內置的麥克風「從來沒有打算成為秘密，應該在技術規格中列出來」。

Nest 服務條款描述了用戶同意將 Nest 產品，與第三方產品和服務接口的可能性，並且州用戶必須同意，讓其設備自動安裝更新。最近的一項更新取消了用戶關閉 Nest 攝影機錄製時點亮的 LED 狀態燈的功能。它還指出，公司可以訪問內容，包括公司用來「提供、維護和改善服務」的錄影帶。

雖然 Ring 的服務條款，幾乎涵蓋了所有用途，但少數用例已成為公眾知識。首先，Ring 向烏克蘭的開發人員提供了其在雲端託管的未加密影像的訪問權限，從而使開發人員能夠對其進行研究，以幫助訓練其電腦視覺算法。

Ring 還透過名為「 Neighbors」的一項計劃，與美國 400 多名警察共享錄影，這是一種類似於鄰里觀看的服務。環區首席執行官 Jamie Siminoff 在博客中寫道：「鄰居和當地執法部門透過 Neighbors 應用 App 的合作，取得了驚人的成績，從被盜槍支上街，到幫助家庭保護孩子安全，甚至恢復被盜糖尿病兒童的醫療用品。」

另一方面，電子前沿基金會則持相反的觀點。 EFF 政策分析師 Matthew Guariglia 在博客中寫道：「每當攝影機檢測到運動，或有人敲門鈴時，透過發送照片和警報，應用 App 就會給被包圍的家庭帶來錯覺。」

「這將看起來非常安全的社區，變成了焦慮和恐懼的源頭。這就提出了一個問題：您是否真的需要 Ring，還是讓 Amazon 和警察誤導您以為您會這樣做？」

僅僅因為駭客可以透過 IP 攝影機，進行間諜活動，並不意味著他們可以。

從膠帶、便利貼、貼紙和其他貼在筆記型電腦上的設備的數量來看，公眾已經對網路攝影機，產生了一定程度的偏執。惠普的一項調查發現，在美國有 79％的受訪者，意識到陌生人透過網路攝影機瀏覽他們的風險。十分之六的受訪者說，不用時，他們用膠帶或類似物品遮蓋了網路攝影機。