去年 9 月，美国 Wyze 安全摄像头的所有者震惊地发现，他们不是在网络摄像头上查看自己家中的镜头，而是在窥视其他摄像头所有者的财产。

“去检查我的相机，它们都消失了，换成了新的......这不是我的，“Reddit上的一位用户说。事实证明，这远非孤立事件。

不到六个月后，同样的事情再次发生，这次有 13,000 名 Wyze 用户收到了来自其他人摄像头的缩略图，这些缩略图允许其他用户查看他们家的镜头。该公司当时表示，“需求的突然激增导致系统混淆了用户设备ID和用户ID映射，从而将错误的帐户与某些数据联系起来”——这很难让用户放心，他们可以理解地希望他们的安全摄像头镜头保持私密。

Wyze也不是唯一的罪魁祸首。2018 年，五名欧洲安全顾问找到了一种方法，只需输入产品序列号即可访问澳大利亚公司 Swann 制造的安全摄像头的视频片段，而无需用户名和密码。2022 年，安全研究员 Paul Moore 发现，只需知道正确的 URL，无需任何密码，即可通过网络浏览器访问 Eufy 拥有的 Eufy 的 Doorbell Dual 摄像头！

政府支持

当然，从这些不同的事件中很容易得出结论，拥有家庭安全系统只是比它的价值更麻烦。好消息是，由于新的政府立法和公众对强密码重要性的认识提高，情况正在好转。

4月，英国出台了《产品安全和电信基础设施（PSTI）法案》。这意味着所有物联网设备（包括安全摄像头、智能电视、智能冰箱等）制造商必须满足最低密码要求，遵守公认的安全标准（ETSI EN 303 645 和 ISO/IEC29147），并告知消费者为每个设备提供安全更新的最短期限。如果不这样做，可能会导致1000万英镑的罚款或全球收入的4%。

与此同时，在美国，连接标准联盟（Matter 智能家居标准背后的组织）最近推出了针对智能消费设备的物联网设备安全规范，包括灯泡、开关、恒温器和摄像头。该规范由近 200 家成员公司开发，包括亚马逊、谷歌、施耐德电气和昕诺飞（飞利浦 Hue 和 WiZ），规定了物联网设备的多项要求，包括具有唯一 ID、无硬编码默认密码、安全存储敏感数据和产品支持期间的软件更新。满足这些要求的设备将能够带有 CSA 的新产品安全验证 （PSV） 标志。去年，美国政府还为符合美国国家标准与技术研究院（NIST）报告中概述的某些安全标准的产品推出了自己的网络信任标志。

“现在还处于早期阶段，到目前为止只有少数设备通过了认证，但我们的想法是，五金店的消费者将能够检查标记，并扫描设备上的二维码，看看他们通过了哪些测试，”CSA技术主管Chris LaPré告诉TechRadar。“在网上，希望像亚马逊这样的零售商可以有一个复选框，只列出符合标准的商品。

提高合规性

当然，立法是一回事，执法是另一回事。在英国，消费者协会最近报道称，许多制造商仍然未能遵守新的PSTI法规，特别是在告知客户为购买的产品提供多长时间的安全更新时。

同样，在美国，拉普雷承认，家庭安全“生态系统”仍然存在问题，特别是（尽管，正如我们之前所看到的，不完全是）低价的中国摄像头。“如果你在亚马逊上说'给我一个便宜的IP摄像机'，你只是买了它，插上电源，然后按照指示进行操作，你可能会在几分钟内被黑客入侵，”他补充道。挪威网络安全公司 Promon 的高级技术总监 Andy Whaley 对此表示赞同。“我们之前已经看到中国电子制造商安客未能加密其智能家居安全设备之一的摄像头馈送。这种忽视是可负担性和安全性之间权衡的一个典型例子。

根据 A&O Cyber 技术网络主管 Richard Hughes 的说法，从知名品牌购买总是一个好主意。“如果你从ADT或Amazon Ring Security等公司购买产品，那么你会期望他们会考虑其设备的安全状况。但是，如果您从某个未知品牌购买设备，那么他们很可能没有分配任何资源来确保产品无漏洞。

虽然认为最好的家庭安全摄像头实际上会增加您的安全风险可能具有讽刺意味，但它们确实需要“首先进行适当配置，使用强密码和多因素身份验证（如果可用）来控制访问，”IEEE高级成员兼诺丁汉大学网络安全教授Steven Furnell解释道。特别重要的是保护运行家庭安全应用程序的设备，包括手机和笔记本电脑。

那么你应该买一个家庭安全系统吗？当然，这并非没有风险，但已经明确转向“设计安全”的物联网设备。还有一些简单的步骤可以确保您的智能家居安全，这有助于有所作为。

与此同时，政府和标准机构正在努力改进基本标准。消费者也可以通过部署强密码并确保在其所有物联网设备上安装最新的安全更新，以及选择显示最新认证的批准产品来发挥自己的作用——一旦它们被广泛使用。

(消息来源：techradar图片来源：unsplash)