日前,一张令人震惊的“摄像头ID价格表”被曝光,扯出了其背后的偷拍黑色产业链。
图源:都市报道
都市报道记者经过数月的调查,成功卧底潜入了一个利用摄像头偷拍的犯罪团伙内部。从2月1日到20日的短短二十天时间内,记者在该团伙的买家QQ群中共发现了八千多段针孔摄像机拍摄的视频,这些私密视频几乎来自全国各地,其中广东、湖南、湖北等地的视频较多,覆盖酒店、民宿、美容院、商场试衣间等场所。
在网上兜售隐私视频的现象已经屡见不鲜,随着网络摄像头的普及,不法分子的犯罪手段也在升级——每个网络摄像机所对应的ID及密码正在被高价出售。前文所述的犯罪团伙人员向记者展示了专业的破解软件,不到半个小时内,吉林省就有3000多个家庭摄像头的ID、用户名和密码被成功破解。此外,他们还在出售一款名叫“破解摄像头助手”的软件,5000元一套,只要提供摄像头ID、用户名及密码,就可以利用这套软件强行入侵、监控他人隐私。更令人毛骨悚然的是,这套软件不仅可以获取监控画面,还可以实现远程控制,甚至能调整摄像头角度。
图源:都市报道
从破解摄像头的ID、密码到入侵控制、从偷拍的针孔摄像头到家居场景中的智能摄像头,从技术手段到线上售卖,不得不说,这条黑色产业链已经相当成熟。
近年来,包括央视网在内的主流媒体曾多次曝光“摄像头黑色产业链”,但这颗“毒瘤”却久久无法根除。在网络通信发达、智能终端普及的今天,这条黑色产业链所带来的伤害愈演愈烈。
“黑手”伸到了家里
以往,偷拍事件大多发生在酒店、商场等公共场所,如今,伴随智慧家庭理念的普及,消费者对于智能家居及智能终端设备的接受度与日俱增,家庭智能摄像头产品出货量猛增,也由此吸引了犯罪分子的目光。
3月25日,IDC公布了《中国智能家居设备市场季度跟踪报告(2020年第四季度)》。报告显示,2020年Q4中国智能家居设备市场出货量为6087万台,同比增长6.0%,销售额为130亿美元,同比增长4.4%。其中,家庭安全/监控市场Q4出货量为817万台,同比增长24.9%,销售额接近6亿美元,同比增长43.4%,家庭监控与智能门锁主要带动了增长。
在日益丰富的智能家居生态中,家庭摄像头的功能早已不止防盗这么简单了,作为智能家居系统中的重要一环,智能摄像头已经逐渐升级为交互终端,承担起系统联动的作用。除专业的家用安防摄像头外,扫地机器人、智能电视、智能门锁、智能屏等产品都内置了智能摄像头,这也意味着,这些常用的智能家居终端都有可能成为黑客攻击对象。
早在2017年,安全公司Check Point就在其官网放出了一段视频,称LG的Hom-bot系列智能扫地机存在“HomeHack”漏洞,外表看似人畜无害的扫地机器人实则已经具备被黑客控制的条件。黑客可以利用该漏洞进行远程攻击,完全控制它,并获取使用其内置的摄像头权限,对家庭场景进行视频监控。
图源:温州日报
无独有偶,2020年8月,西安市的一位单亲妈妈因工作繁忙,在小区外一家电脑维修中心购买了价值190元的高清网络摄像头,从而实时查看女儿独自在家时的情况,该摄像头具备移动跟随与远程控制功能,但却经常在无人走动的静态情况下自主转动,原因竟是卖方在通过软件远程控制、监控隐私。
细思极恐的同时,我们不禁要问——物联网在极大便捷我们生活的同时,却让我们的安全变得更加脆弱,科技与隐私难道注定无法兼顾吗?
“断网”保隐私?
为何这些标榜“黑科技、全智能”的摄像机屡遭毒手呢?
首先是弱口令漏洞,很多厂商并未在设备出厂时对视频服务口令做随机处理,而是统一采用默认口令,加之消费者安全意识淡薄,并未修改口令或修改为admin/1234、admin/12345、admin/12346、admin/admin等简单密码,存在极大安全漏洞;其次是产品漏洞,消费者有时会因为不了解、图便宜等原因选购了不知名品牌或山寨品牌的家用摄像头或智能家居终端,劣质产品本身就存在安全漏洞;此外,很多消费者忽略了系统升级、补丁更新等产品后期维护工作,致使设备仍暴露在一些已被发现的漏洞之中。
不难发现,大部分安全攻击的媒介都是网络,那么,是不是切断通信就可以保障安全呢?
显然没那么简单。家庭摄像头的主要功能是视频监控,应用最多的场景便是通过手机APP进行实时监控,如果进行本地局域网部署,势必将丧失远程控制这一功能,那对于消费者而言毫无意义。所以,面对日渐猖獗的“摄像头黑色产业链”,仍需消费者提升安全防护意识,甄别产品来源、及时升级、更新软件,尽量不要把摄像头摆放在卧室、卫生间等位置。
然而,智能门锁、扫地机器人、智慧屏等终端的内置摄像头的主要功能是人脸识别及智能交互,完全可以通过本地化部署实现。IDC FutureScape在2月发布的2021年智能家居趋势预测显示,随着消费者对于智能家居安全防护意识的提升,面部识别本地化将会快速发展。
目前,百度AI人脸离线识别SDK已经过了多轮升级迭代,可实现离线RGB活体检测、离线近红外活体检测、离线对比识别、离线人脸库管理等功能;虹软ArcSoft旗下的视觉引擎也同样支持离线人脸识别、人证核验。
此外,对于智能家居的核心——场景联动,物联网系统解决方案供应商庆科信息近日推出了MXMESH无线智联解决方案,可以让手机直接作为MESH网络节点入网,通过蓝牙对设备进行本地控制,消费者可以在手机APP内预设联动场景,并通过离线语音功能实现全屋智能设备的本地化联动。
而对于智能家居终端厂商而言,手握大量用户数据,其安全维护同样重要,不难发现,近年来,可靠性、安全性均占优势的本地云服务快速崛起,让企业在享受到云服务的弹性扩展与低成本的同时,又实现了对数据主权的完全自主化。目前,国内外主要云服务商均推出了本地云服务或本地部署的软硬件解决方案,如AWS Outposts、Azure Stack、阿里云飞天Stack、浪潮云ICP、华为云Stack、腾讯云TCE、金山云KingStack、百度云ABCStack、京东智联云JD Stack等。
然而,功过参半,设备商采用本地云服务也势必将在本地部署服务器,需要面临高成本、人工运维等一系列问题。
写在最后
5G、物联网、AI等技术快速发展,产业应用也愈发丰富,但各类“科技向恶”的犯罪事件也从未间断,不仅是消费者应提高自身安全防范意识,设备厂商也应在产品安全方面加大投入。然而,安全漏洞可以通过技术手段弥补,但不法分子的侥幸之心却不是一个“补丁”就可以解决的。