70元10個ID,全國數萬家庭攝像頭遭入侵,按刺激程度標價,物聯網安全如此不堪一擊?
日前,一張令人震驚的“攝像頭ID價格表”被曝光,扯出了其背后的偷拍黑色產業鏈。
圖源:都市報道
都市報道記者經過數月的調查,成功臥底潛入了一個利用攝像頭偷拍的犯罪團伙內部。從2月1日到20日的短短二十天時間內,記者在該團伙的買家QQ群中共發現了八千多段針孔攝像機拍攝的視頻,這些私密視頻幾乎來自全國各地,其中廣東、湖南、湖北等地的視頻較多,覆蓋酒店、民宿、美容院、商場試衣間等場所。
在網上兜售隱私視頻的現象已經屢見不鮮,隨著網絡攝像頭的普及,不法分子的犯罪手段也在升級——每個網絡攝像機所對應的ID及密碼正在被高價出售。前文所述的犯罪團伙人員向記者展示了專業的破解軟件,不到半個小時內,吉林省就有3000多個家庭攝像頭的ID、用戶名和密碼被成功破解。此外,他們還在出售一款名叫“破解攝像頭助手”的軟件,5000元一套,只要提供攝像頭ID、用戶名及密碼,就可以利用這套軟件強行入侵、監控他人隱私。更令人毛骨悚然的是,這套軟件不僅可以獲取監控畫面,還可以實現遠程控制,甚至能調整攝像頭角度。
圖源:都市報道
從破解攝像頭的ID、密碼到入侵控制、從偷拍的針孔攝像頭到家居場景中的智能攝像頭,從技術手段到線上售賣,不得不說,這條黑色產業鏈已經相當成熟。
近年來,包括央視網在內的主流媒體曾多次曝光“攝像頭黑色產業鏈”,但這顆“毒瘤”卻久久無法根除。在網絡通信發達、智能終端普及的今天,這條黑色產業鏈所帶來的傷害愈演愈烈。
“黑手”伸到了家里
以往,偷拍事件大多發生在酒店、商場等公共場所,如今,伴隨智慧家庭理念的普及,消費者對于智能家居及智能終端設備的接受度與日俱增,家庭智能攝像頭產品出貨量猛增,也由此吸引了犯罪分子的目光。
3月25日,IDC公布了《中國智能家居設備市場季度跟蹤報告(2020年第四季度)》。報告顯示,2020年Q4中國智能家居設備市場出貨量為6087萬臺,同比增長6.0%,銷售額為130億美元,同比增長4.4%。其中,家庭安全/監控市場Q4出貨量為817萬臺,同比增長24.9%,銷售額接近6億美元,同比增長43.4%,家庭監控與智能門鎖主要帶動了增長。
在日益豐富的智能家居生態中,家庭攝像頭的功能早已不止防盜這么簡單了,作為智能家居系統中的重要一環,智能攝像頭已經逐漸升級為交互終端,承擔起系統聯動的作用。除專業的家用安防攝像頭外,掃地機器人、智能電視、智能門鎖、智能屏等產品都內置了智能攝像頭,這也意味著,這些常用的智能家居終端都有可能成為黑客攻擊對象。
早在2017年,安全公司Check Point就在其官網放出了一段視頻,稱LG的Hom-bot系列智能掃地機存在“HomeHack”漏洞,外表看似人畜無害的掃地機器人實則已經具備被黑客控制的條件。黑客可以利用該漏洞進行遠程攻擊,完全控制它,并獲取使用其內置的攝像頭權限,對家庭場景進行視頻監控。
圖源:溫州日報
無獨有偶,2020年8月,西安市的一位單親媽媽因工作繁忙,在小區外一家電腦維修中心購買了價值190元的高清網絡攝像頭,從而實時查看女兒獨自在家時的情況,該攝像頭具備移動跟隨與遠程控制功能,但卻經常在無人走動的靜態情況下自主轉動,原因竟是賣方在通過軟件遠程控制、監控隱私。
細思極恐的同時,我們不禁要問——物聯網在極大便捷我們生活的同時,卻讓我們的安全變得更加脆弱,科技與隱私難道注定無法兼顧嗎?
“斷網”保隱私?
為何這些標榜“黑科技、全智能”的攝像機屢遭毒手呢?
首先是弱口令漏洞,很多廠商并未在設備出廠時對視頻服務口令做隨機處理,而是統一采用默認口令,加之消費者安全意識淡薄,并未修改口令或修改為admin/1234、admin/12345、admin/12346、admin/admin等簡單密碼,存在極大安全漏洞;其次是產品漏洞,消費者有時會因為不了解、圖便宜等原因選購了不知名品牌或山寨品牌的家用攝像頭或智能家居終端,劣質產品本身就存在安全漏洞;此外,很多消費者忽略了系統升級、補丁更新等產品后期維護工作,致使設備仍暴露在一些已被發現的漏洞之中。
不難發現,大部分安全攻擊的媒介都是網絡,那么,是不是切斷通信就可以保障安全呢?
顯然沒那么簡單。家庭攝像頭的主要功能是視頻監控,應用最多的場景便是通過手機APP進行實時監控,如果進行本地局域網部署,勢必將喪失遠程控制這一功能,那對于消費者而言毫無意義。所以,面對日漸猖獗的“攝像頭黑色產業鏈”,仍需消費者提升安全防護意識,甄別產品來源、及時升級、更新軟件,盡量不要把攝像頭擺放在臥室、衛生間等位置。
然而,智能門鎖、掃地機器人、智慧屏等終端的內置攝像頭的主要功能是人臉識別及智能交互,完全可以通過本地化部署實現。IDC FutureScape在2月發布的2021年智能家居趨勢預測顯示,隨著消費者對于智能家居安全防護意識的提升,面部識別本地化將會快速發展。
目前,百度AI人臉離線識別SDK已經過了多輪升級迭代,可實現離線RGB活體檢測、離線近紅外活體檢測、離線對比識別、離線人臉庫管理等功能;虹軟ArcSoft旗下的視覺引擎也同樣支持離線人臉識別、人證核驗。
此外,對于智能家居的核心——場景聯動,物聯網系統解決方案供應商慶科信息近日推出了MXMESH無線智聯解決方案,可以讓手機直接作為MESH網絡節點入網,通過藍牙對設備進行本地控制,消費者可以在手機APP內預設聯動場景,并通過離線語音功能實現全屋智能設備的本地化聯動。
而對于智能家居終端廠商而言,手握大量用戶數據,其安全維護同樣重要,不難發現,近年來,可靠性、安全性均占優勢的本地云服務快速崛起,讓企業在享受到云服務的彈性擴展與低成本的同時,又實現了對數據主權的完全自主化。目前,國內外主要云服務商均推出了本地云服務或本地部署的軟硬件解決方案,如AWS Outposts、Azure Stack、阿里云飛天Stack、浪潮云ICP、華為云Stack、騰訊云TCE、金山云KingStack、百度云ABCStack、京東智聯云JD Stack等。
然而,功過參半,設備商采用本地云服務也勢必將在本地部署服務器,需要面臨高成本、人工運維等一系列問題。
寫在最后
5G、物聯網、AI等技術快速發展,產業應用也愈發豐富,但各類“科技向惡”的犯罪事件也從未間斷,不僅是消費者應提高自身安全防范意識,設備廠商也應在產品安全方面加大投入。然而,安全漏洞可以通過技術手段彌補,但不法分子的僥幸之心卻不是一個“補丁”就可以解決的。
