議題背景

7月初,臺灣及外國媒體網路報導一篇發表在通訊領域年度盛會(IEEE International Conference on Computer Communications, INFOCOM)上的研究。新聞表示,研究團隊分析中國主流家用攝影機上傳的數據,發現藉由這些數據,可能讓竊賊不用觀看影像內容,就可以推測家中是否有人,甚至可以判斷人在家中的活動。

研究原文

Li, J., Li, Z., Tyson, G., & Gaogang, X. (2020). Your Privilege Gives Your Privacy Away: An Analysis of a Home Security Camera Service. IEEE International Conference on Computer Communications.

相關資料來源

專家怎麼說?

2020年7月30日
國立中山大學資訊工程學系助理教授 徐瑞壕

家用安全攝影機(IP Camera)的普及,讓人們更容易的透過網路來監控居家或是工作環境的即時狀況,並採取相對應的安全措施。然而這類的網路攝影機,會將視訊影像傳送至雲端平台,供使用者監控及觀看,這也使得有心人士可以透過觀察視訊影像傳送的網路封包資訊,來得知是什麼樣的事件觸發了視訊影像的傳送。例如是使用者主動觀看視訊,還是監控區域有活動。藉此,監控區域的人員活動,甚至是活動的類型可以因此而被分析出來。今年七月初一篇發表在國際知名通訊領域學術研討會(IEEE International Conference on Computer Communications, INFOCOM)的論文,揭露了家用安全攝影機洩露用戶隱私的潛在問題。

上述研究針對21萬餘位使用者的1500多萬個視訊串流,進行了大規模的分析,結果顯示,安全攝影機軟體的付費用戶與免費用戶使用的行為不同,付費用戶多使用於偵測攝影機所在場所的活動,因此當有活動被偵測到時,攝影機將被觸發並且上傳視訊的片段給雲端平台供使用者監看。如進一步的分析攝影機被觸發上傳視訊的頻率以及時間區段,將可分析出攝影機所在場所的人員活動模式以及正在進行的活動型態。

然而,要分析出上述的資訊,必須要能分析出攝影機傳送給雲端平台的資料封包型態,是屬於使用者的即時視訊觀看,還是攝影機偵測到活動而上傳的視訊。這些資料封包,若被需要輸入密碼的無線網路(WiFi)、WPA/WPA2[註1]的網路加密方式,或是IPSec加密協定[註2]所保護,將無法被直接取得和分析。因此,使用需要輸入密碼的wifi來傳輸攝影機視訊資料,可有效地避免使用者以外的人取得視訊傳輸的資訊,也可增加使用者以外的人觀察視訊流量資訊的困難度。

除了上述的反制方式,關閉攝影機的活動偵測(Motion Detection),可避免攝影機揭露其監控區域內人員的活動,但這樣的反制方式也將喪失安全攝影機提供的活動偵測功能。若要徹底及有效的避免家用安全攝影機的視訊流量被分析,則需要由攝影機的製造商來解決。只加密影像的內容是不夠的,廠商必須提供可以對抗上述攻擊的安全設計,避免攝影機在傳送不同類別的視訊時,產生明顯不同的流量行為,如此才能防止監聽與分析視訊通訊流量的攻擊。

註釋與參考資料:

[註1] WPA/WPA2:這兩種無線網路的加密機制的產生,是由於最早的WEP無線加密機制被破解後,而被提出來的,其採用的安全加密協定的安全性更高,且不容易被破解。

[註2] IPSec(Internet Protocol Security)加密協定:透過加密資料、驗證資料傳送者,以及驗證資料完整性,來保障使用IP網路傳輸資料的安全性。

版權聲明

本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:

曾雨涵

haharain331@rsprc.ntu.edu.tw
02-3366-3366#55925