在家里安装摄像头,本以为安全,却成了隐患!
“你在看家,别人在看你”,当你安装了家庭摄像头,可以随时随地在手机上查看家中孩子、老人是否安好,查看宠物、电器是否安全,查看家中是否进了小偷的同时,你可能不知道,你的家庭、生活乃至一举一动,很可能已经成为别人屏幕上的直播内容。电影《楚门的世界》里,主人公毫不知情地成为全世界围观对象的情景,今天很可能会发生在每一个人身上。国家质检总局近日发布智能摄像头产品质量安全风险警示,“采集样品40批次,结果表明,32批次样品存在质量安全隐患”,这意味着8成安装了智能摄像头的家庭,都可能成为黑客监控的对象,他们的私人生活,随时都可能任人观赏。因此,此次智能摄像头产品风险评估为“高等风险”。
8成摄像头可被控制
在家里安装一个智能摄像头,然后下载一个APP,就可以通过手机遥控,随时随地查看家中的情况,尤其是有老人、孩子的家庭,更愿意选择智能摄像头这种便捷的安保产品,以便随时观察。
统计数据显示,目前在国内上市销售的智能摄像头品牌多达107个,市场上销售的无品牌的山寨产品更是不计其数,保守估计全国市场年销量超过了400万台。按比例算,有320万个摄像头可能被入侵。
庞大的市场不仅推动着智能摄像头产业的发展,同时也成了不法分子趁机牟利、随意侵犯和出卖他人隐私的乐土。早在去年5月,360公司攻防实验室就发布了首个《国内智能家庭摄像头安全状况评估报告》,报告显示,“国内市场上近8成摄像头存安全设计缺陷,近8成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷”。
当你以为在家中安装摄像头,可以方便你随时观察家庭情况时,殊不知能看到这一切的人,绝不只你一个人。
国家互联网应急中心专家指出,“目前发现约有10多种智能设备木马,以其中一种典型的智能设备木马为例:在2017年第一季度,境内的木马受控IP总数高达40余万个,木马控制服务器IP数量638个,平均每天就有29个控制服务器利用近7000个智能设备向189个IP地址发动攻击”。
控制技术门槛非常低
不法分子究竟是怎样控制家庭摄像头的?又是如何获知你的IP、密码等信息的?
专家指出,黑客经常会用批量扫描器,通过大范围的IP扫描,来寻找互联网上存在弱口令漏洞的,或被事先掌握登录密码的智能摄像头设备。当然,也存在使用暴力破解等攻击手段破解密码的情况。
事实上,不论是扫描还是破解,技术门槛都非常低,甚至不需要专业的计算机知识,中国社科院互联网研究专家郭良指出,“互联网入侵的现象,很多年前就有了,联合国还有一个专门讨论互联网开放、便捷与安全的论坛。到今天,一个经常使用电脑的人,只要按部就班地使用黑客提供的数据和软件,就能够扫描到别人的摄像头,并有很大的机会加以破解和控制,从而把别人的隐私生活变成一场'直播真人秀’”。
而大量存在设计缺陷的山寨产品,让黑客如鱼得水。数据显示,70%的智能家庭摄像机的APP没有进行安全加固,存在隐私泄露或滥用的风险;80%的智能家庭摄像机设备允许使用弱密码;50%的智能家庭摄像机与互联网或局域网的通信没有加密,或者通信加密措施失效;40%的智能家庭摄像机存在人机交互措施无法确认使用者身份;40%的智能家庭摄像机件更新时没有使用加密……而这些,都是黑客入侵的工具。
在网上,有大量出售IP账号的黑客,当有人购买了这些IP账号后,再配合被破解的登录密码以及相应软件,就能轻易入侵家庭摄像头,在主人毫无察觉的情况下进行偷窥。
“看家神器”变“家贼”
智能家庭摄像头曾被很多网友称为“看家神器”,直接使用Wi-Fi联网,就可以实现远程查看、远程报警、视频通话、视频分享等多种功能。
然而,方便主人的同时,也方便了偷窥者,使“看家神器”不知不觉中变成连通黑客的“家贼”。
据质检总局发布的检测报告显示,“32批次存在质量安全隐患的样品中,28批次样品数据传输未加密;5批次样品后端信息系统存储的监控视频可被任意下载,或者用户注册信息可被任意查看”。
这些安全隐患,都可能为黑客提供方便,或成为谋利的工具。在网上,不仅有大量的IP及相关的破解软件出售,也有许多摄像头拍摄的视频被当作商品任意出卖,价格从几十元到一两百元不等,甚至还有一些不法分子以录制的视频替代实时监控,蒙蔽主人,趁机入室行窃。
不仅智能家庭摄像头容易被入侵,个人电脑上的摄像头、手机摄像头,也同样存在被黑客轻易控制调用的风险,黑客甚至可以关闭摄像头的启用指示灯,以防止用户发现,以至于许多人不得不使用物理方法,遮挡住笔记本上的摄像头。网上甚至有许多“如何优雅地遮挡摄像头”“怎样遮挡摄像头又不难堪”之类的讨论帖,参与者众多。
郭良指出,除个人摄像头存在被入侵的风险之外,“用于城市管理、交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题”。
入侵容易防范难
无所不在的摄像头,使每一个人置身于监控之下,提升了个人安全的保障程度,提高了城市管理的效率,但同时也让隐私暴露的风险大为提高。郭良指出,很多人平常并没有太强的密码管理意识,这也是弱口令成为黑客的入侵利器,“安全意识淡薄的用户,使用过于简单的弱口令密码,或者干脆使用设备出厂时的默认密码,这给了黑客极大的便利”。不久前,国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布的全国性监测。结果有十几万个存在着弱口令漏洞。
安全意识更强的用户,是否能够规避风险呢?郭良指出,设置复杂的密码,且经常更换密码,确实能够降低风险,但并不能完全规避,“每个人能记住的密码数量都是有限的,但同时使用密码的地方又很多,银行卡、电子邮箱、互联网通信工具、网络支付工具、网站账号……一些不重要的地方,难免就会用比较简单的密码,方便记忆。曾有调查显示,全球使用最多的密码是1q2w3e,这也是以前黑客试密码时的第一选择,现在更简单了,写个脚本就能大规模地试密码”。
个人防范意识的增强,确实可以增加黑客破解的难度,但这并不是治本之策,郭良指出,“开放和安全,永远都是一对矛盾,也很难有什么根本性的防范之策”。
谁该为入侵负责
大量摄像头被入侵,用户隐私被当作商品随意买卖,究竟应该追究谁的责任?北京泰樾律师事务所主任律师梁固本指出,“从法律责任的角度来说,网络入侵可能会涉及民事、刑事、行政等多方面的责任问题”。
一般的侵权行为,如控制他人摄像头进行偷窥之类,很难处以太重的处罚,梁固本说:“主要还是民事责任,比如停止侵权、消除影响、赔礼道歉等,如果造成名誉、精神方面的损害,还需要承担赔偿责任。如果触犯刑律,如倒卖个人隐私、敲诈勒索、绑架等,要承担刑事责任。”
问题在于,这些违法犯罪行为,因为在互联网上进行,因此常常具有更强的隐蔽性,再加上产品的技术缺陷,致使入侵很难被发现,“这就涉及到行政责任,智能摄像头是接入互联网的,而且被入侵的数量很大,且不限于家庭摄像头,因此也涉及到公共安全的问题,相关部门应该加强网络监控,如设置恶意代码监控,建立摄像头生产、经营的准入制等,资质不达标的不许进入,产品不合格的,即便没有造成严重危害,也可采取重罚乃至吊销资格等措施”。
作为新兴产品,目前国内外均无智能家用摄像头安全准入标准和追责制度。郭良指出,“全世界都是如此,不但缺乏准入标准,也缺乏产品安全质检,评测体系。但矛盾的是,一旦有了标准,也就等于给黑客指了一条路。所以,我们确实需要提高安全标准,但不能完全依靠它”。
方便安全难兼得
互联网时代,新技术正在快速地改变人们的生活方式,2016年,全球使用中的智能联网设备达到64亿个,据估计,到2020年,这个数字将达到208亿,平均每个家庭中将有10个智能联网设备。汽车、洗衣机、窗帘、电视、电脑、摄像头……
然而,硬币的另一面,却是无所不在的安全风险:汽车因为黑客入侵而失去控制,洗衣机因为黑客控制而空转,智能手环把用户的行动轨迹公布在网上,而摄像头则让你的家庭生活在互联网上被人围观……
安全、便捷和隐私哪一个更重要,有时候并不容易选择。梁固本说:“技术带给人的应该是更好的保护,而不是伤害,现代技术带来了太多的便利,但必须警惕它的副作用,就好像摄像头的问题,在一些国家,已经有法律规定,某些公共场所如广场、高速公路等,不得安装摄像头,因为无所不在的摄像头,会给人们一种隐蔽的压力,以及失去隐私之后的不安,而且,摄像头装的多,也隐含着鼓励人们互相监视的意味。”
郭良也认为,“技术进步的目的,是让人生活的更便利、更幸福、更有尊严,而非失去尊严。但有时候难以兼得,便利是需要付出代价的,而且很难通过预设的门槛来防范风险,这时候提高违法犯罪的成本可能更有效,如果违法犯罪的成本让人承担不起,敢这么干的人就会少了”。 文/本报记者 迟乾
著作权归作者所有。非商业转载请注明出处。