上周,美国德克萨斯州曝出一起摄像头偷窥案。
安达泰(ADT)安全服务公司的前
技术员工 Telesforo Aviles 承认自己利用职务之便,在设置、调制
监控系统时,哄骗客户或在客户不知情的情况下,将自己的邮箱添加到客户的账户或客户端的移动监控系统中,随时监视客户的情况。
在将近5年的时间里,他累计非法访问了大约 200 个客户家中的摄像头 9600 多次。
细思恐极的是,他会专门留意
那些他觉得有吸引力的女性家庭,多次访问这些家庭的摄像头,偷看她们洗澡、换衣服,甚至还观看到很多“嘿嘿嘿”的亲密场景……
ADT 公司专门为企业和个人提供安全监控服务,比如安装摄像头和安全锁,设计家庭安全方案等。2020 年 4 月,公司发布声明自曝称自家安全摄像头被黑,始作俑者正是前文提到的雇员。但受害用户反馈称,安全漏洞最早是一位客户
无意中发现的:
无需第三方授权,就能把自己添加进监控系统。
这么明显的技术漏洞,ADT作为专业安全监控公司竟然毫无察觉,且事发之后并未第一时间修复漏洞,却选择了息事宁人。这更是让用户怒火中烧,将公司及其前雇员一举告上法庭。直到最近,案件才有进一步进展:Telesforo 认罪后,可能面临 5 年的监禁。
回顾这些年,智能摄像头安全隐患导致用户日常生活无意中被直播、隐私视频被贩卖甚至遭遇勒索的事件已经屡见不鲜。不论是国内国外,主流摄像头都曾中招。而围绕智能摄像头的黑灰色产业链,也在蔓延。
根据媒体报道:
2017年6月18日,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,并被大量人员非法购买后用于偷窥;
2019 年 6 月,浙江温州市永嘉县公安局民警在网上巡查中发现,辖区男子周某在多个社交软件平台售卖家用摄像头破解工具和被控制的家用摄像头账号密码及大量私密视频;70 元就能购买 300 个账号
……
尽管上述案例的相关责任人均已受到了法律的制裁,但直到现在,
类似的问题依然存在。
就在前两天,央视还对此进行了报道:
在评论区,很多用户表达了自己的担忧,也有人分享了安全贴士。
点击图片可放大
去年 10 月份,极棒的舞台上有一个挑战项目,叫
“2020年了,究竟还有没有安全的智能摄像头”
。选手利用未知漏洞远程攻破了智能摄像头,直观展示了智能摄像头的安全问题,也给厂商敲响了警钟。之所以给项目起这个花名,是因为 2015 年至今,极棒的舞台上以及新闻报道中已经多次揭示了智能摄像头存在的不同安全隐患,提醒厂商修复。
但一条条新闻告诉我们,这个问题的答案,可能是“没有”。
智能摄像头的安全问题频发,厂商最应该为此担责。在不断的提醒和警示之下,老厂商也许已经开始注意提升产品安全性能,但新入局的厂商依旧可能重蹈覆辙。厂商对于摄像头管理软件具有最高的管理权限,可以从后台获取用户信息和视频资料,很有可能如同本文开头的案例那般,从员工、从源头获取、侵犯用户隐私。
智能摄像头本身的特点决定了它在
设备本身(终端)、云平台、移动应用(APP)及数据传输等多个层面
都需要精心设计。而常见的
弱口令、未授权访问、端口暴露、SQL攻击
等都会导致智能摄像头处于危险之中。利用这些漏洞,不仅能实时观看到视频,还能让有云台的摄像头转动方向,实现“360度无死角”窥视。2020年7月,
伦敦玛丽皇后大学(QMUL)和中国科学院的研究人员还发现,不调用摄像头,根据摄像头上传数据时产生的流量大小,就有可能了解到用户的日常生活状态以及不在家的时间。这些都意味着,厂商要不断改进技术,提升产品安全性。
对于监管部门来说,除了
《民法典》、《个人信息保护法》、《网络安全法》
等在用户隐私被侵犯之后可用于维权的法律法规之外,尽快建立物联网、智能家居相关的信息安全标准及规范,才有可能在泄露之前保护好用户隐私。
作为普通用户,虽然被动,但也不是无计可施:
希望未来,“智能摄像头安全与隐私”这个话题,越少上热搜越好,因为这也许意味着,智能摄像头真的更安全了……
