据央视报道,最近北京警方展开行动,成功破获全国首例网上传播家庭摄像头破解软件犯罪案,抓获涉案人员24名。
这些人隐藏在暗处,以泄露个人隐私为手段牟利,在QQ群中兜售远程控制家庭摄像头的破解软件,并有大量人员非法购买该软件后利用摄像头进行偷窥。
这一犯罪行为背后是怎样的黑色利益链?受害者可能遭受哪些损失?我们又该如何防范?
现如今,很多人家里都装有智能摄像头。下载一个相关联的应用程序,可以随时用手机看看家里的情况。比如老人独自在家是否安全,保姆带娃是否尽责,有没有进小偷之类的。
这些本来为便利生活安装的拍摄工具,却被一些别有用心的人盯上。
网络摄像机不同于常见的摄像头,这是一种结合传统摄像机与网络技术的产品,只要接上电源和网络,远端的浏览者用标准的网络浏览器即可监视其影像。
网络摄像机的操作是通过网络技术实现的,所以黑客在发动攻击前,有可能先通过类似的诱骗链接,来获取用户的IP地址,进而套取网络摄像机的独立IP。
不法分子依靠扫描器,用user或者admin等弱口令密码,做大范围的扫描。扫描破解软件启动后,不仅可以确认具体品牌和型号,发动攻击,还能实现精准定位,连用户的居住地址都能查到。
在播放软件中,输入卖家提供的IP地址、登录名和密码,便可成功进入一个摄像头,进而实现偷窥,不被觉察。
团伙中,有人负责卖软件,有人负责卖IP截图,还有人从中倒卖。
在QQ搜索栏,输入“摄像头 破解”,跳出了众多相关聊天群。一位叫“大胆吻下去”的卖家称,今天靠卖号已经赚了500多元。他有几十个徒弟,如果拜他为师,一个月收入上万并不难。
而在一些qq群内,ip地址会被群主作为聚拢人气的礼物,免费向群员发放。在这个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址。每份都被下载了几百次。
群中被标价出售的,是涉及年轻女性、夫妻生活的摄像头,它们被隐晦地称为“精品台”,每个被卖到几十元乃至上百元。
更可怕的是,摄像机可被远程操作。
国内知名黑客余弦表示,黑入家用网络摄像机后,随时随地开启摄像功能,只是小菜一碟。
像带有旋转功能的摄像机,黑客可以远程遥控其拍摄角度,若是带有声音效果,黑客还能直接与用户对话。
之所以能够被轻松破解、侵入,大部分问题在于摄像头本身。
专家介绍,不光是个人购买的摄像头是这样,在用于城市管理、交通监测的公共摄像头中,也大量存在使用弱口令便可以打开的问题。监控平台弱口令漏洞频发,是一种世界级的普遍现象。
今年6月,国家质检总局官网发布关于智能摄像头的质量安全的风险警示称,已检测的40批次中,32批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。
央视记者了解到,
此次智能摄像头信息安全的风险监测,从广东、湖南、江苏等8个省市的38家企业采集了38个品牌共40个型号的智能摄像头产品,本次采样品牌涵盖了360、小米、中兴、三星、海康威视等排在市场关注度前5位的产品,覆盖智能摄像头品牌市场关注率的70%以上,同时还采集了部分新兴品牌的产品。
价格区间分别为700块钱以上的高档产品、300到700块钱之间的中档产品,以及300块钱以下的低档产品,其中87.5%为中低档智能摄像头。
最终经过对智能摄像头终端、云平台、数据传输以及移动应用等4个安全项目的测试,40批次产品中存在安全漏洞的就多达32批次,占比高达80%,其中数据传输安全不符合项最多,达到28批次。
在一份题为《摄像头横向测试表》的文件中记者发现,技术人员对目前市面上多个品牌的摄像头,进行了“手机控制终端”、“云端应用安全”、“设备终端安全”三个大项30多个小项的测试,结果所涉猎品牌或多或少存在安全问题。
从测试结果来看,目前,有关视频画面泄露的问题主要集中在摄像头软件云端逻辑漏洞和手机APP软件漏洞两个方面。
安全研究员王先生所在的实验室在对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。
从理论上讲,通过手机远程查看到摄像头内容,必须通过注册,甚至要求“一对一”。
但是,个别品牌的摄像头与手机进行连接时,并没有对手机身份进行验证,这是一个非常严重的漏洞。
黑客可以通过漏洞,用一个虚拟的绑定就可以查看数百个摄像头实时画面,而出现此漏洞的摄像头至少有数十款,其中包括了一些著名品牌。
此外,用户安全意识薄弱也是一大因素。余弦告诉记者,在调查过程中,他们发现许多用户在使用时,并没修改摄像机默认口令,所以黑客只要掌握摄像机独立IP,就能不费吹灰之力进入控制处,窥探用户生活。
据北京警方相关负责人介绍,此次破获的“网上传播家庭摄像头破解软件”的犯罪案件为新型网络黑客犯罪,目前尚无司法案例可遵循。
多位嫌疑人因涉嫌非法控制计算机信息系统罪被刑事拘留。当前,该案正在进一步办理中。
中国人民大学法学院教授肖中华表示,个人的行踪轨迹属于个人信息的核心内容。一旦非法获取、出售或者提供50条以上,就触犯了《侵犯公民个人信息罪》,甚至可能涉嫌犯罪。
而截取家庭摄像头中的性行为进行展示的,制作、传播到一定数量,就构成传播淫秽物品罪;如果传播者因此牟利,并达到一定数量,将构成传播淫秽物品牟利罪。
家庭摄像头本来被称为“安防用品”,如今却成了隐私的“直播机”,确实让人担忧。如何保障不被偷窥?
首先,要选择正规渠道购买智能摄像头产品,一定不要购买“三无”产品,注意留意权威部门发布的相关产品质量信息。在使用时,要及时修改智能摄像头默认密码,密码设置不能过于简单,并且要定期修改。
还要养成定期查杀病毒的好习惯。不使用摄像头时,要记得断开电源和网络,减少泄密的风险。
其次,摄像头不要正对卧室、浴室等隐私区域,并要经常检查摄像头的角度是否发生变化。一旦发现异常要立即停止使用,并向生产厂商反馈,等待厂商修复。如果隐私被泄露,要通过法律渠道维护自身权益。
当然,最迫切的是呼吁智能家居行业尽快制定安全标准,提高产品的信息安全能力;尽快出台智能摄像头使用规范,对于控制他人摄像头的不法行为,加大打击力度,维护家庭隐私安全。
财经网(ID:caijingwangwx)出品,转载请联系授权。
(参考资料来源:央视财经、重庆晨报、中关村在线、京华时报等)
