你知道吳翰清嗎？你知道他是怎麼被阿里巴巴錄取的嗎？

對於黑客，用好了，真是一個神奇的存在，用的不好，那可就是一個噩夢了。不可否認，智能攝像頭也存在穩定性差、安全性低等問題，很容易被黑客攻破，成為非法竊取用戶隱私的幫兇。以“智能攝像頭”“破解”等為關鍵詞在網上搜索，可以看到各種博客、貼吧、論壇、興趣群等公開討論智能攝像頭破解方法，甚至有不法人員網上兜售破解工具和教程，僅花費數百元即可買到被破解的IP地址、登錄賬號和密碼，不覺中已形成一條灰色產業鏈。而智能攝像頭被黑客和不法人員盯上，又與其自身使用特性不無關聯。

黑客如何攻破智能攝像頭？

黑客的攻擊過程主要分為兩步：

第一步，在網絡空間中找到智能攝像頭。智能攝像頭在網絡空間中表現為一個節點，黑客利用自制的掃描軟件或公開的搜索引擎，搜索所有與互聯網關聯的服務器、攝像頭、打印機、路由器等，進而根據功能特徵找到節點位置，準確定位其IP地址。

第二步，破解用戶賬號和密碼。黑客先利用智能攝像頭IP地址進入Web登錄界面，再利用邏輯推理或暴力破解等手段，獲得賬號和密碼，從而進入監控系統，實現偷窺。需要說明的是，很多用戶安全意識不強，直接使用廠商默認的賬號和密碼，黑客根本無須費力破解，即可直接登錄。

而黑客之所以能破解智能攝像頭，回溯其設計和生產過程，不難從4方面發現問題。

1.訪問控制方面。

一是用戶使用了弱口令。據統計，遭受攻擊的用戶中，賬號名稱大多為user、admin，密碼則是abc、123456等，複雜程度較低，經不起推敲，而廠商也未對用戶的密碼複雜程度進行限制。二是未限制默認賬戶的訪問權限。出於方便用戶使用和在線升級維護等原因，一般情況下，廠商不會對默認賬戶的訪問權限進行限制，否則可能會導致某些功能無法正常使用，黑客則恰好利用這一便利條件發起攻擊。

2.身份鑑別方面。

一是廠商未提供登錄失敗處理功能，不能有效防範黑客的暴力破解和非法攻擊。二是智能攝像頭未採取結束會話、限制非法登錄和超時自動退出等措施，使用戶易遭受重放攻擊，即黑客盜取代表用戶身份的認證憑據後，再把它重新發給認證服務器，以達到欺騙的目的。而“賬戶+口令”的認證方式本身安全性就較弱，應採用電子密碼器、身份認證卡等更高級的方式，保護用戶身份不被冒用。

3.數據加密方面。

一是用戶賬號、密碼明文存儲，或用戶註冊信息可被隨意查看，從而使黑客輕而易舉地取得管理權限。二是廠商後臺存有漏洞，致使海量視頻監控數據被非法下載。三是監控視頻存儲於本地或雲端，尤其是存儲於本地的數據，未經加密處理，無法保證安全性，黑客下載後可直接使用。

4.更新功能方面。

一是部分廠商為日後遠程調試設備，便於售後服務等原因，特意留下了“後門”，這種“後門”一般具有較高的權限，能夠修改智能攝像頭信息，甚至篡改設備本身，為黑客非法操控留下了可乘之機。二是部分廠商未提供系統和固件的更新功能，不能及時修補漏洞，一旦黑客掃描到系統漏洞併發起攻擊，系統不能及時響應和防護，造成了被動挨打的局面。