韓國「N號房」事件發生後,再度喚起公眾對攝像設備泄露私隱的擔憂。隨著物聯網發展進程加快,物聯網智能攝像頭、智能家電設備愈發受到青睞。然而,一些創造便利的物聯設備也可能成為不法分子窺探私隱的“千里眼”“順風耳”,形成網路化、鏈條化的黑色產業鏈。
半月談記者通過摸底調查發現,不法分子可以輕易破解部分智能監控設備,並將破解軟體、破解ID肆意在網上出售,無數用戶的私隱暴露在他人的監視中。
點擊看圖輯
當心!物聯網設備正在「出賣」你的私隱自動播放 詳情點擊nequal廣告剩餘: 29秒01:25
一些卧室早已沒有秘密
考慮到安全防範等因素,許多用戶在家、公司不同位置安裝了攝像頭,通過手機端App可實時查看。這些攝像頭處於長期開機拍攝狀態,有的業主說「懶得重啟,從不關機」。
用戶本以為只能自己觀看的監控畫面,實際上成了「實時公開播放」。
記者以網友身份加入了以「攝像」“監控”為名的某社交平台群組。10多分鐘後,一名群成員詢問是否購買攝像頭ID,隨即發來10餘張監控視頻截圖,其中大部分為家庭攝像頭拍攝的場景截圖,最近的時間為3月24日,這些圖片被設置“閱後即焚”,5秒鐘後自動銷毀。
該成員稱,攝像ID「普通的85元10個,好點的175元25個」,附贈操作指導。完成支付後,該成員發來24個設備列表名稱,名稱中標註有“客廳”“睡房”等字樣。按照 “教學”提示,記者下載了一款手機App,就可以登錄查看在線視頻監控畫面。
更令人震驚的是,只要花320元再購買一款「破解軟體」,用戶便不用再單獨購買攝像頭ID,使用該軟體可以快速破解1萬個攝像頭中的999個在線攝像頭ID進行觀看,相當於“包月”。
那麼,不法分子是如何破解家用攝像頭並實現遠程操控的呢?一方面,一些攝像頭品牌使用弱口令註冊賬號,有的可以不用註冊直接連接攝像頭設備,可以輕易被破解;另一方面,黑客通過「拖庫」「撞庫」技術完成了對攝像頭ID的破解。
一旦用戶的網路設備使用相同的登錄賬號和密碼,就可以被「撞庫」技術破解,變成公開內容。例如,從某郵箱網站非法獲得大量個人用戶登錄信息後,這些賬號密碼就極有可能成為破解該用戶家用設備的“鑰匙”。若大型社交媒體或軟體被「黑」,會有數以千萬甚至上億的個人信息遭泄露。
攝像頭、門鎖、車……都能被「黑」
「物聯網發展迅速,但對於個人私隱安全的保障相對滯後。」一位互聯網安全從業人士坦言,相較於企事業單位使用的物聯網安防設備,個人使用的智能攝像頭、智能門鎖以及採用物聯網技術的私家車等設備,都存在被遠程破壞或物理干擾破壞的可能性。例如家裏的智能溫控設備被「黑」後,可把“夏天”變成“冬天”,無人駕駛車輛被“攻陷”後極容易引發交通事故。
近期,國家互聯網應急中心下屬的關鍵基礎設施安全應急響應中心發佈報告稱,半個多月的時間內,針對特定漏洞的物聯網惡意代碼攻擊事件數量達到6700萬次,有單個組織對數10萬個IP位址發起攻擊嘗試。可以認為,只要物聯設備暴露到互聯網上,隨時有被攻擊的可能,並且可能被不同組織反覆攻擊。
在業內看來,安全意識弱是一個較大的漏洞。「很多人沒有網路安全意識,或者存在僥倖心理,覺得網路被‘黑’的事情離自己很遙遠。」在奇安信集團擔任安全專家、高級架構師的一名工作人員告訴記者,不法分子還會去買同型號產品先做研究分析,找到針對性攻擊手段,給安全管控帶來更大的挑戰。
利用其他物聯網設備充當「間諜」的也不在少數:自帶攝像頭的掃地機械人不斷窺探著房間;智能音箱夜間突然發出“神秘笑聲”;蘋果Siri被曝出會在未經用戶允許的情況下,將用戶錄音上傳到伺服器……
記者暗訪時,與不法分子的交談記錄截屏
物聯網存在的漏洞更是成為了違法犯罪的「溫床」。以私隱攝像頭為例,其背後已形成完整的產業鏈,通常由開發出售攝像頭破解工具、攻擊網路攝像頭、代理銷售攝像頭視頻三個環節組成。各個環節分工明確,手段隱蔽。一些團伙使用虛擬貨幣進行交易以逃避監管,最終利用攝像頭視頻進行敲詐等。
破解物聯網設備窺探私隱遠比公眾想像的要簡單,一些黑客軟體可達到「零門檻」“傻瓜操作”的程度,一分鐘就能安裝上手。
為物聯私隱披上鎧甲
物聯網領域違法犯罪行為對社會秩序和國家安全造成了威脅。隨著相關技術不斷進入實際應用,不法分子攻擊的覆蓋面也會增加,打擊此類違法犯罪任重道遠。堵住物聯網下的私隱黑洞需要多方聯防聯治、密切協同,構建立體防禦體系。
相關辦案民警表示,黑客犯罪案件仍處高發態勢,應著力構建網信、工信、公安等各部門之間協調溝通機制,綜合治理互聯網黑客犯罪問題。
中國互聯網協會研究中心秘書長鬍鋼認為,網路安全的立法工作應堅持「快立頻修」,高效快速立法,以應對新型網路犯罪行為。“司法機關要及時處理緊迫多變的涉物聯網違法犯罪案情。”胡鋼說。
北京師範大學刑法所副所長彭新林提出,各部門應聯合行動,加大對利用物聯網設備犯罪行為的打擊力度,在鼓勵創新發展的同時加強行業監督和指導。網民也要增強安全意識,強化安全防護措施,發現黑客違法犯罪線索後要及時舉報。
企業要重視辦公環境網路安全,定期檢查攝像頭等設備,建立網路安全防護體系,同時要重視對員工的網路安全培訓,並在設備生命周期內做好軟體、系統的漏洞修復、安全更新等運維工作。
專家建議,網民對網路社交平台的賬號、密碼盡量採取分類管理,針對各個平台使用不同的密碼,且盡量使用高強度的密碼,還要經常性地更新重要網路平台的密碼。在購買物聯網設備時,建議從大廠商、正規渠道進行購買,注意選擇經過安全檢測的設備。
神州快訊
** 博客文章文責自負,不代表本公司立場 **
