一些監(jiān)控平臺(tái)軟件截圖,。(資料圖)
當(dāng)晚22時(shí)10分,,用手機(jī)打開該APP,按照指示輸入買來(lái)的賬號(hào)密碼,,一間臥室的實(shí)時(shí)監(jiān)控畫面隨即彈出,。
從畫面推斷,,攝像頭應(yīng)安裝于房間角落處天花板上,,對(duì)著床,。房間已關(guān)燈,,但利用攝像頭的夜視功能,,可見床上一對(duì)情侶睡臥,床被花色清晰,。
22時(shí)35分,,畫面左上角的“當(dāng)前觀看人數(shù)”從2變?yōu)?。幾分鐘后,,有觀看人通過(guò)手機(jī)操縱攝像頭調(diào)整角度,,聲筒里傳出攝像頭云臺(tái)(底座)旋轉(zhuǎn)發(fā)出的輕微機(jī)械聲,畫面開始晃動(dòng)。屏幕中央用于操控?cái)z像頭角度的指針幾經(jīng)擺動(dòng),,最終停留在最左邊,,女子的臉隨之完全暴露在畫面中,其輕微咳嗽聲也清楚可聞,。
進(jìn)入另一個(gè)被賣家稱為精品IP的“小臺(tái)”,,畫面顯示來(lái)自于一家按摩院。一張紫色按摩床上,,趴著的女性正半露上身接受按摩師服務(wù),,雙方談話議價(jià)聲清晰。畫面左上角數(shù)字提示,,共有5人在線觀看這場(chǎng)按摩,。
另一個(gè)監(jiān)控平臺(tái)APP里,按照購(gòu)買的賬戶密碼登錄,,則可控制一戶家庭客廳的攝像頭,,攝像頭對(duì)著紅色的沙發(fā)床和電視柜。從視角推斷,,這個(gè)攝像頭被放在客廳東南角的一張桌子上,。連續(xù)觀察幾日可發(fā)現(xiàn),每天接近傍晚,,會(huì)有一個(gè)10多歲的小女孩進(jìn)入房間,,趴在沙發(fā)床上用平板電腦看視頻,一個(gè)身材微胖的中年男子,,則喜歡靠在毯子上看電視,。
這些陌生人的生活被同樣陌生的人窺視、存儲(chǔ),、記錄,,目前無(wú)法統(tǒng)計(jì)有多少人的隱私如此被侵害,但僅一起公安機(jī)關(guān)破獲的案例中,,一名賣家手中便被查出握有1萬(wàn)多個(gè)賬戶密碼信息,。這意味著,起碼有1萬(wàn)多個(gè)攝像頭覆蓋下的場(chǎng)景毫無(wú)隱私可言,。而這僅是一名賣家案發(fā)后被查出的數(shù)據(jù),。
如一名黑客所言,理論上,,每個(gè)運(yùn)行中的智能攝像頭都有被侵入的可能,。“這是一場(chǎng)秀,,每個(gè)人都在看著你,。”電影《楚門的世界》中,無(wú)處不在的攝像頭包圍了男主角楚門的世界,,他的生活被24小時(shí)直播,。
現(xiàn)實(shí)版的《楚門的世界》也在上演,如果恰巧安裝帶有安全隱患的智能攝像頭,,你的家庭生活有可能也在網(wǎng)絡(luò)中被掛牌叫賣,。
窺視者、賣家和黑客
對(duì)于買家而言,,攝像頭賬戶的價(jià)格因場(chǎng)景而分級(jí),。
普通小臺(tái)指被安放在家庭客廳、餐廳,、辦公室等的攝像頭,,價(jià)格為5元-10元;被稱為“精品”的資源,,則瞄準(zhǔn)臥室的床,、浴室、按摩院等私密場(chǎng)所,,價(jià)格從10元到50元不等,。
買家更青睞那些有年輕女性居住的家庭攝像頭賬號(hào)。一個(gè)臥室小臺(tái)里,,大多數(shù)時(shí)間都無(wú)人在線,,但到晚上主人回屋睡覺(jué)時(shí),在線觀看人數(shù)就會(huì)多起來(lái),。被偷窺者們往往毫無(wú)察覺(jué),,除非偷窺者頻繁旋轉(zhuǎn)攝像頭,這類行為通常遭到偷窺群友的譴責(zé),,因?yàn)榭赡芤齺?lái)主人懷疑,,攝像頭被關(guān)閉或更改密碼。
2017年6月17日早上6時(shí),,浙江杭州一個(gè)民居中,,女主人突然發(fā)現(xiàn)安裝在家中客廳的攝像頭開始異常轉(zhuǎn)動(dòng),她手機(jī)登錄監(jiān)控APP后發(fā)現(xiàn),,除自己之外,,還有另一個(gè)陌生賬戶在線。隨后,,女主人前往派出所報(bào)案。
不過(guò),,更多被偷窺者并不敏感,。1月19日下午,一個(gè)被賣家稱為“客廳單女”的小臺(tái)里,偷窺者操縱攝像頭轉(zhuǎn)動(dòng)想看清客廳中女子的臉,,女子似乎有所察覺(jué),,轉(zhuǎn)頭和攝像頭對(duì)視一會(huì)后,回頭繼續(xù)玩起手機(jī)游戲,,并未關(guān)閉攝像頭,。
通過(guò)手機(jī)窺看他人生活的,通常是為滿足好奇心和窺私欲,,一些人還會(huì)邊看邊在同好群里交流心得,。許多偷窺者經(jīng)常發(fā)布自己錄制的視頻,與其他人交流,。一張發(fā)在QQ群里的截圖顯示,,一個(gè)身著短褲坐在客廳沙發(fā)上玩手機(jī)的女子,正通過(guò)攝像頭被11個(gè)人在線觀看,?!斑@也有這么多人看?”賣家表示不解,。
監(jiān)護(hù)兒童,,是大多數(shù)人購(gòu)買智能攝像頭的目的,也是智能攝像頭的主要市場(chǎng)之一,。大量流傳在QQ群,、網(wǎng)盤的錄制視頻以及截圖里,都有嬰兒床,、兒童玩具等出現(xiàn)在畫面里,。
需要特別指出的是,與傳統(tǒng)需與電腦連接或硬盤存儲(chǔ)錄像的攝像頭不同,,當(dāng)下市場(chǎng)流行的智能攝像頭,,是直接使用Wi-Fi聯(lián)網(wǎng),配有移動(dòng)應(yīng)用遠(yuǎn)程查看,。用戶安裝好智能監(jiān)控后,,只需下載專用的客戶端,即可實(shí)現(xiàn)遠(yuǎn)程操控監(jiān)控,。
除實(shí)時(shí)監(jiān)控及遠(yuǎn)程操控角度外,,許多與智能攝像頭搭配使用的監(jiān)控軟件還有錄像、錄音等功能,。
但這升級(jí)后的功能恰恰給黑客留下操作空間,。
像其他網(wǎng)絡(luò)賣家一樣,林曉同時(shí)販賣攝像頭暴力破解軟件,,這些名為“刺客”,、“千里眼”,、“守望者”等軟件,下載后經(jīng)過(guò)簡(jiǎn)單操作,,可以掃描到數(shù)十個(gè)賬號(hào)密碼,,輸入相應(yīng)播放軟件,實(shí)時(shí)監(jiān)控畫面隨即彈出,。
賣家散布在互聯(lián)網(wǎng)中,,隱藏在各網(wǎng)名背后的真實(shí)身份各不相同,但入行的門檻普遍不高,。
2017年4月,,浙江省麗水市景寧縣網(wǎng)警偵查一起涉及8000余萬(wàn)條個(gè)人信息來(lái)源的案件,一個(gè)攝像頭資源賣家引起警方注意,。經(jīng)過(guò)三個(gè)月偵查,,一名擅長(zhǎng)變換上網(wǎng)地址的黑客落網(wǎng)。
王冀(化名),,32歲,,初中文化,河北邢臺(tái)人,。他通過(guò)瀏覽黑客網(wǎng)站的軟件,,自學(xué)破解攝像頭方法,并將破解后的賬號(hào)賣出,。王冀落網(wǎng)后,,警方發(fā)現(xiàn),1萬(wàn)余個(gè)包含攝像頭品牌,、型號(hào),、IP地址、賬戶名和密碼的信息,,被他以word形式存儲(chǔ)在電腦里,。此外,王冀的電腦中至少有11款破解和入侵?jǐn)z像頭黑客軟件,,有手機(jī),、電腦等不同版本,出售價(jià)格從88元到300元的套餐不等,。
景寧縣公安局網(wǎng)警大隊(duì)副隊(duì)長(zhǎng)陳勇濤告訴《財(cái)經(jīng)》記者,,文檔里包含絕大多數(shù)國(guó)內(nèi)知名攝像頭廠家的品牌,IP地址多位于廣東,、浙江等地,。
王冀?jīng)]有計(jì)算機(jī)基礎(chǔ),他這樣的賣家,,購(gòu)買黑客軟件后經(jīng)過(guò)簡(jiǎn)單學(xué)習(xí)便可自起門戶,,成本很低,,處于金字塔狀黑產(chǎn)的產(chǎn)業(yè)鏈末端。在他的上家,,是與其互不認(rèn)識(shí)、提供攻破軟件的“工具黨”,。
杜河(化名),,浙江人,是王冀獲取這些軟件的上家,,兩人不相識(shí),。杜河的犯罪行為主要是組建QQ群,召集王冀這樣的“愛好者”分享軟件牟利,。目前,,王冀和杜河均因涉嫌非法侵入計(jì)算機(jī)信息系統(tǒng)罪被批準(zhǔn)逮捕。在北京市公安局網(wǎng)安總隊(duì)同期偵破的另一起同類案件中,,6名出售軟件的賣家,,18名購(gòu)買軟件并非法入侵智能攝像頭的犯罪嫌疑人被捕。
但是,,監(jiān)控黑產(chǎn)鏈遠(yuǎn)比暴露在視野中的長(zhǎng),,分銷商和工具黨之上、位于金字塔頂端的是一些掌握頂尖技術(shù)的黑客,,他們能迅速發(fā)現(xiàn),、攻破安全漏洞,編寫滿足不同需求的破解軟件,。
“不要問(wèn)我怎么破解監(jiān)控?cái)z像頭,,因?yàn)閷?shí)在太簡(jiǎn)單?!币幻诳驼f(shuō),。
一些黑客利用程序工具攻擊,一秒鐘便可攻破大量攝像頭,。網(wǎng)絡(luò)安全公司知道創(chuàng)宇404安全實(shí)驗(yàn)室(下稱“404實(shí)驗(yàn)室”)曾向《財(cái)經(jīng)》記者模擬測(cè)試一次攻破攝像頭的過(guò)程,,利用網(wǎng)絡(luò)安全漏洞,通過(guò)簡(jiǎn)單的攻擊指令便可迅速獲取攝像頭的賬戶密碼,,進(jìn)而控制攝像頭,、獲得實(shí)時(shí)影像。
早在2013年底的黑帽安全技術(shù)大會(huì)上,,有人披露一些國(guó)外知名廠商生產(chǎn)的監(jiān)控?cái)z像頭的安全漏洞,,聲稱可以像好萊塢電影一樣操控網(wǎng)絡(luò)監(jiān)控?cái)z像機(jī),并進(jìn)行演示,。
另外一支黑客團(tuán)隊(duì)告訴《財(cái)經(jīng)》記者,,他們?cè)?017年3月,、7月和11月分別發(fā)現(xiàn)國(guó)內(nèi)幾家知名廠商所生產(chǎn)的攝像頭存在嚴(yán)重安全漏洞泄露,但信息在披露前被“公關(guān)”掉了,。
冰山一角
在家中安裝智能攝像頭的目的,,大多是為了安防。家住北京市朝陽(yáng)區(qū)的劉米在臥室安裝了一款可360度旋轉(zhuǎn)的高清智能攝像頭,,離家上班時(shí),,她會(huì)打開監(jiān)控畫面,觀察自己寵物狗的生活狀況,。但安防產(chǎn)品隨著系列黑客活動(dòng),,卻成為安全漏洞。
(圖/視覺(jué)中國(guó))
通過(guò)簡(jiǎn)單破解,,家庭生活被直播,、錄制,甚至可能流入色情產(chǎn)業(yè),。404實(shí)驗(yàn)室總監(jiān)隋剛告訴《財(cái)經(jīng)》記者,,監(jiān)控黑產(chǎn)既通過(guò)銷售獲利,也會(huì)向博彩,、色情等地下產(chǎn)業(yè)導(dǎo)流盈利,。
如果只在黑產(chǎn)中私下流傳,傷害尚小,,但一旦發(fā)生隱私泄露并被公開,,將對(duì)受害者造成不可預(yù)估的傷害。2016年9月3日,,河北邯鄲市公安局通報(bào)稱,,2015年7月,河北省館陶縣一對(duì)男女在轎車內(nèi)親熱時(shí)被巡邏輔警王某某等發(fā)現(xiàn),,王某某擅自使用手機(jī)錄像,,后該視頻外泄并傳播。一年后,,當(dāng)事女子在館陶縣巡特警大隊(duì)門口服農(nóng)藥,、經(jīng)搶救無(wú)效身亡。
除導(dǎo)向偷窺,、色情產(chǎn)業(yè)鏈外,,另一類黑產(chǎn)訴求意在感染攝像頭后發(fā)起DDoS攻擊,這種攻擊是指黑客將多個(gè)設(shè)備聯(lián)合起來(lái)作為平臺(tái),,同時(shí)向某一對(duì)象發(fā)動(dòng)攻擊使其服務(wù)停止,。
在多位黑客和安全工程師看來(lái),這類現(xiàn)象更為普遍而難以被察覺(jué),。2016年10月21日,,美國(guó)東海岸網(wǎng)絡(luò)遭遇三名黑客DDoS攻擊,,超過(guò)半數(shù)美國(guó)人無(wú)法上網(wǎng),包括Twitter,、亞馬遜,、Airbnb等知名網(wǎng)站宕機(jī),其惡意代碼感染對(duì)象就是智能攝像頭,、路由器等設(shè)備,。
另一種擔(dān)憂在于個(gè)人信息黑產(chǎn)與攝像頭入侵黑產(chǎn)兩個(gè)鏈條的結(jié)合。2017年6月,,央視曾演示一種攝像頭控制方法,安全工程師精準(zhǔn)攻破受測(cè)攝像頭后使得畫面靜止,,而真實(shí)房間內(nèi)的被拍攝物品已被拿走,。家居智能攝像頭畫面被劫持,使得證據(jù)無(wú)法固定,,或受害者被蒙騙,、監(jiān)控等,這在“技術(shù)上是完全可能的”,,隋剛擔(dān)憂地說(shuō),。
智能攝像頭,是最受黑客青睞的物聯(lián)網(wǎng)類設(shè)備種類之一,。極光大數(shù)據(jù)截至2017年10月的數(shù)據(jù)顯示,,搭配智能攝像頭使用的四款頭部應(yīng)用,安裝總量超過(guò)1500萬(wàn),。2017年6月18日,,國(guó)家質(zhì)檢總局在官網(wǎng)發(fā)布智能攝像頭質(zhì)量安全風(fēng)險(xiǎn)警示,稱產(chǎn)品質(zhì)量監(jiān)督司采集38個(gè)品牌共40批次的樣品進(jìn)行抽檢,,結(jié)果顯示,,存在安全漏洞的多達(dá)32批次,占比高達(dá)80%,。受測(cè)品牌涵蓋360,、小米、中興,、三星,、海康威視等排在市場(chǎng)關(guān)注度前五位的產(chǎn)品,。
作為公安部領(lǐng)導(dǎo)下的國(guó)家級(jí)網(wǎng)絡(luò)安全和安全防范第三方機(jī)構(gòu),,公安部第三研究所亦曾對(duì)主流視頻監(jiān)控類產(chǎn)品進(jìn)行安全檢測(cè)。其檢測(cè)中心常務(wù)副主任鮑逸明告訴《財(cái)經(jīng)》記者,,結(jié)果與質(zhì)檢總局檢測(cè)結(jié)果基本吻合,。
國(guó)家通用電子元器件及產(chǎn)品質(zhì)檢中心工程師李樂(lè)言此前曾向央視表示,,目前正在投入使用的攝像頭存在相當(dāng)大的信息安全隱患,未來(lái)將被生產(chǎn)出來(lái)的攝像頭風(fēng)險(xiǎn)將長(zhǎng)期存在,。
北京,、浙江兩起浮出水面的攝像頭入侵黑產(chǎn)案件中,賣家和黑客均因涉嫌違反《刑法》第285條被批捕,,該條共計(jì)三項(xiàng)罪名“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù),、非法控制計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”“提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序,、工具罪”,,最高刑期七年。
此外,,《刑法》第283條規(guī)定,,非法生產(chǎn)、銷售專用間諜器材或竊聽,、竊照專用器材的,,據(jù)情節(jié)嚴(yán)重程度處七年以下有期徒刑。
對(duì)于公民隱私被侵犯的民事法律救濟(jì)渠道,,依據(jù)《侵權(quán)責(zé)任法》,,受害者可提起隱私權(quán)侵權(quán)民事訴訟,要求入侵黑客和買家停止侵害,、刪除被錄制的視頻圖片等,,并要求相應(yīng)賠償。如果攝像頭軟件運(yùn)營(yíng)者和網(wǎng)絡(luò)服務(wù)提供商未及時(shí)采取補(bǔ)救措施,,亦可能承擔(dān)連帶責(zé)任或損失擴(kuò)大的賠償責(zé)任,。如果產(chǎn)品本身有嚴(yán)重缺陷導(dǎo)致此類問(wèn)題,還可按照《侵權(quán)責(zé)任法》《產(chǎn)品質(zhì)量法》《消費(fèi)者權(quán)益保護(hù)法》直接追究生產(chǎn)者責(zé)任,。
不過(guò),,一些企業(yè)不愿承認(rèn)風(fēng)險(xiǎn)的存在。一家致力于C端攝像頭市場(chǎng)的公司告訴《財(cái)經(jīng)》記者,,他們不認(rèn)為市場(chǎng)上的攝像頭安全問(wèn)題有多嚴(yán)重,,輿論熱議是因?yàn)榕c其他智能硬件相比,攝像頭出現(xiàn)安全風(fēng)險(xiǎn)更吸引眼球,。他們通過(guò)客服反饋渠道顯示,,并未發(fā)現(xiàn)其攝像頭產(chǎn)品出現(xiàn)嚴(yán)重安全事故。
事實(shí)可能是,,受害者未必知道自己的隱私正被直播和販賣,。《財(cái)經(jīng)》記者檢索,尚未發(fā)現(xiàn)因隱私被監(jiān)控泄露而提起侵權(quán)訴訟的案例,。
被侵權(quán)人往往并不知情,,即便發(fā)現(xiàn)隱私被侵犯后報(bào)案動(dòng)力亦不足,因而監(jiān)控黑產(chǎn)暴露在執(zhí)法者視野中的只是冰山一角,。
王冀歸案時(shí)雖被查獲破解攝像頭ID 1萬(wàn)余個(gè),,然而警方尚無(wú)法通過(guò)畫面和地址確定受害人,這成為該案?jìng)赊k最大難點(diǎn)之一,。而對(duì)于DDoS攻擊或破解入侵平臺(tái)等犯罪來(lái)說(shuō),,由于成本高昂、耗時(shí)長(zhǎng),,警方更難追溯到上游黑客,。
一家旗下平臺(tái)有大量智能攝像頭賬號(hào)流入黑產(chǎn)的廠家市場(chǎng)人士告訴《財(cái)經(jīng)》記者,已發(fā)布通知愿意配合受害者維權(quán),,但截至目前未接到任何用戶維權(quán)求助,。
當(dāng)下,仍有大量攝像頭賬號(hào)和密碼在網(wǎng)絡(luò)上販賣,。受“水滴直播”事件影響后,林曉等賣家對(duì)《財(cái)經(jīng)》記者稱并不擔(dān)心警方關(guān)注,,“只抓酒店偷裝攝像頭的和做軟件的,,肯定不抓我們這些賣的?!?/p>
不過(guò),,進(jìn)入2017年12月后,隨著網(wǎng)絡(luò)安全公司360因?qū)矆?chǎng)合提供攝像頭直播功能引發(fā)隱私失控焦慮,,攝像頭黑產(chǎn)問(wèn)題也進(jìn)入執(zhí)法者視野,。多個(gè)QQ群都聞風(fēng)而動(dòng),含有“攝像頭”,、“影視”等相關(guān)字眼的群或解散,、或改名?!白罱L(fēng)聲緊,,攝像頭被盯上了,過(guò)段時(shí)間再說(shuō),?!绷謺哉f(shuō)。
多位受訪者認(rèn)為,,利益驅(qū)動(dòng)之下網(wǎng)絡(luò)黑產(chǎn)將長(zhǎng)期存在,,而刑法打擊則具有滯后性,偵破難度大、用戶維權(quán)難的現(xiàn)狀將長(zhǎng)期困擾執(zhí)法者,。
這一現(xiàn)狀之下,,被稱為安防業(yè)紅海的市場(chǎng)如何破局安全短板,是廠商,、用戶,、監(jiān)管部門需要共同面臨的難點(diǎn)。
攻防持久戰(zhàn)
一位世界排名前五的智能攝像頭生產(chǎn)廠商安全總監(jiān)坦言,,盡管其所在企業(yè)在安防方面投入巨大,,但隨著全球針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊趨勢(shì)愈發(fā)嚴(yán)峻,他們?cè)谥悄軘z像頭市場(chǎng)受到的黑客攻擊和安防壓力并不小,。
2016年國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公開收錄的1117個(gè)物聯(lián)網(wǎng)設(shè)備漏洞影響設(shè)備的類型中,,網(wǎng)絡(luò)攝像頭、路由器,、手機(jī)設(shè)備漏洞數(shù)量,,分別占公開收錄漏洞總數(shù)的10.1%、9.4%,、4.7%,,網(wǎng)絡(luò)攝像頭漏洞數(shù)排名第一。
漏洞從何而來(lái)
當(dāng)前,,監(jiān)控?cái)z像頭安全隱患主要有三類:生產(chǎn)端的粗放生產(chǎn),、云端和集中管理平臺(tái)的網(wǎng)絡(luò)安全防護(hù)脆弱、應(yīng)用端弱口令問(wèn)題,。
公安部第三研究所檢測(cè)中心常務(wù)副主任鮑逸明告訴《財(cái)經(jīng)》記者,,目前被黑客攻擊最多、最易導(dǎo)致黑產(chǎn)泛濫的原因,,是弱口令問(wèn)題,。弱口令,指攝像頭出廠設(shè)置時(shí)各端口所用賬號(hào)密碼為默認(rèn)設(shè)置或無(wú)密碼,。
黑客使用密碼字典批量破解掃描賬號(hào)口令十分簡(jiǎn)單,,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心高級(jí)工程師高勝表示,這是一種極為低級(jí)的入侵方式,。
極光大數(shù)據(jù)顯示,,搭配智能攝像頭使用的頭部應(yīng)用中,螢石云視頻(??低暺煜?,、云視通、有看頭(Yoosee)和360智能攝像機(jī)安裝量分別為858萬(wàn),、263萬(wàn),、229萬(wàn)和211萬(wàn),。
《財(cái)經(jīng)》記者在多個(gè)黑產(chǎn)群中發(fā)現(xiàn),有不少販賣“云視通”和“有看頭”兩款應(yīng)用上的攝像頭賣家,,甚至有專門針對(duì)這兩款應(yīng)用的黑產(chǎn)群,。賣家發(fā)來(lái)的賬戶密碼多為“123”等簡(jiǎn)單密碼?!坝锌搭^”運(yùn)營(yíng)商深圳技威時(shí)代科技有限公司(下稱“技威時(shí)代”)市場(chǎng)經(jīng)理?xiàng)钚l(wèi)回應(yīng)《財(cái)經(jīng)》記者稱,,2017年6月以來(lái)確已發(fā)現(xiàn)這一現(xiàn)象并進(jìn)行自查,流入黑產(chǎn)原因是用戶未更改設(shè)備默認(rèn)密碼“123”,,被破解利用,。
楊衛(wèi)表示,技威時(shí)代主營(yíng)業(yè)務(wù)為APP平臺(tái)開發(fā)和技術(shù)支持服務(wù),,并不從事攝像機(jī)成品生產(chǎn)和銷售,,因此遭黑產(chǎn)利用的不是其旗下產(chǎn)品,已對(duì)技威體系內(nèi)的所有廠家客戶下發(fā)整改通知,,督促各自代理商,、渠道商更改密碼,并在后續(xù)產(chǎn)品上采取強(qiáng)密碼,。但就存量市場(chǎng)而言,,弱密碼現(xiàn)象依然存在,尚無(wú)法根除,。
在高勝看來(lái),,諸多安全隱患中弱口令問(wèn)題最易解決,只需廠家編寫強(qiáng)密碼設(shè)置要求,,用戶及時(shí)更改密碼便可避免,。但為何當(dāng)下許多智能攝像頭產(chǎn)品仍存在這一問(wèn)題,?
一位安防企業(yè)安全總監(jiān)給出的解釋是:“很多廠商眼里,,C端攝像頭的競(jìng)爭(zhēng)還處在市場(chǎng)初期規(guī)模擴(kuò)張階段,用戶體驗(yàn)的競(jìng)爭(zhēng)還處在使用便捷,、價(jià)格便宜的維度上,,尚未把安全當(dāng)作重要競(jìng)爭(zhēng)緯度,用戶本身也并不重視,。一些廠商便放縱了弱口令等安全隱患的存在,。”
許多智能攝像頭廠商為方便用戶或廠商自行管理,,有統(tǒng)一網(wǎng)絡(luò)監(jiān)控管理平臺(tái),,這意味著,若管理平臺(tái)防護(hù)能力低,,被黑客攻破便可查看所有使用這個(gè)管理平臺(tái)的攝像機(jī)畫面,。
404實(shí)驗(yàn)室在過(guò)去幾年發(fā)現(xiàn)過(guò)大量監(jiān)控?cái)z像頭的安全漏洞,幾乎涉及所有攝像頭領(lǐng)域的知名廠商。在2017年一年,,至少監(jiān)測(cè)到5家廠商爆出的嚴(yán)重安全漏洞,,涉及的攝像頭數(shù)量從幾萬(wàn)到幾十萬(wàn)不等。最為嚴(yán)重的情況是,,他們監(jiān)測(cè)到一家安防企業(yè)的幾十個(gè)監(jiān)控視頻集中管理平臺(tái)曾被黑客拿下,,而每個(gè)管理平臺(tái)都涉及海量攝像頭的監(jiān)控畫面。
上述安防企業(yè)安全總監(jiān)則對(duì)《財(cái)經(jīng)》記者稱,,“這很常見”,,他給出的解決方案是,使用加密信息傳輸,,即便黑客攻破平臺(tái)也無(wú)法讀取數(shù)據(jù),。
據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心觀測(cè)到的數(shù)據(jù),政府,、高校及行業(yè)單位正陸續(xù)建立一些與交通,、環(huán)境、能源,、校園管理相關(guān)的智能監(jiān)控平臺(tái),,這些智能監(jiān)控平臺(tái)漏洞占比達(dá)到1.9%。這一占比較低,,不過(guò)一旦被黑客攻擊,,遭到泄露的敏感監(jiān)控視頻就可能包括國(guó)防安全信息、金融交易信息,、商業(yè)辦公機(jī)密等,。
攝像頭安全漏洞的第三類來(lái)源則是源于生產(chǎn)端的粗放生產(chǎn)。據(jù)公安部第三研究所調(diào)研,,攝像頭端網(wǎng)絡(luò)安全防護(hù)能力最弱,,存在大量由于嵌入式系統(tǒng)裁剪不當(dāng)、各類通信端口開放過(guò)多帶來(lái)的風(fēng)險(xiǎn),;而且設(shè)備安全態(tài)勢(shì)不可知,,造成安全漏洞修補(bǔ)不及時(shí)的問(wèn)題。
404實(shí)驗(yàn)室所監(jiān)測(cè)到的攻擊行為中,,有很大一部分便屬于對(duì)這類“生產(chǎn)型漏洞”的攻擊,,只需要找到一處固件漏洞,便可進(jìn)行大范圍攻擊,,而無(wú)關(guān)監(jiān)控?cái)z像頭的品牌,,因?yàn)樗麄兯褂玫耐峭患易鞣弧?/p>
例如,2016年12月,,多款Sony品牌智能攝像頭型號(hào)后門賬號(hào)漏洞被發(fā)現(xiàn),。其部分?jǐn)z像頭原固件中包含兩個(gè)經(jīng)過(guò)硬編碼且永久開啟的賬號(hào),,可用來(lái)開啟遠(yuǎn)程登錄訪問(wèn)并完全操控。該漏洞被CNVD評(píng)級(jí)為“高?!?,影響Sony公司近80款攝像頭產(chǎn)品。
C端市場(chǎng)混戰(zhàn)
安全隱患現(xiàn)狀不僅是技術(shù)問(wèn)題,,也是市場(chǎng)低水平競(jìng)爭(zhēng)的惡果,。
過(guò)去十年,中國(guó)是監(jiān)控?cái)z像頭數(shù)量增長(zhǎng)最快的國(guó)家,。根據(jù)現(xiàn)有安裝規(guī)劃,,中國(guó)攝像頭數(shù)量將在未來(lái)三年攀升至6.26億個(gè)。美國(guó)平均每千人配備約96個(gè)監(jiān)控?cái)z像頭,,英國(guó)為75個(gè),,而中國(guó)攝像頭密度較高的城市,目前每千人配備的攝像頭數(shù)量不到40個(gè),。
但事實(shí)上,,中國(guó)監(jiān)控?cái)z像頭領(lǐng)域存在著兩個(gè)格局迥異的市場(chǎng),一個(gè)以B端客戶為主,,另一個(gè)市場(chǎng)以家庭,、小商戶等C端客戶為主。兩個(gè)市場(chǎng)成熟階段不同,、參與主體不同,,其對(duì)待安全問(wèn)題的姿態(tài)也差異明顯。
B端市場(chǎng)得益于天網(wǎng)工程,、智慧交通等工程,,以及各行業(yè)對(duì)攝像頭的需求,歷經(jīng)十年發(fā)展,,處于相對(duì)成熟階段,。目前形成海康威視,、大華股份,、宇視科技三家龍頭企業(yè)主導(dǎo)的市場(chǎng)格局,,三家占據(jù)50%左右的市場(chǎng)份額,,在全球視頻監(jiān)控廠商排名中也位列第一、第二和第七,。隨著市場(chǎng)集中度的提高,,近兩年,B端市場(chǎng)上的安防龍頭廠商紛紛組建安全團(tuán)隊(duì),,在安全措施上投入大量成本,。原因在于,,一是B端市場(chǎng)客戶本身就對(duì)于產(chǎn)品安全性的訴求強(qiáng)烈;二是B端市場(chǎng)進(jìn)入相對(duì)成熟的階段,,安防龍頭企業(yè)做大后,,一旦出現(xiàn)安全問(wèn)題容易演化成黑天鵝事件;三是近年來(lái)中國(guó)安防龍頭企業(yè)紛紛開始海外業(yè)務(wù)擴(kuò)張,,海外市場(chǎng)對(duì)于安全問(wèn)題的重視倒逼企業(yè)提高安全標(biāo)準(zhǔn),。
B端市場(chǎng)得益于天網(wǎng)工程、智慧交通等工程,,以及各行業(yè)對(duì)攝像頭的需求,,歷經(jīng)十年發(fā)展,處于相對(duì)成熟階段,。圖/視覺(jué)中國(guó)
關(guān)于中華網(wǎng) |
廣告服務(wù) |
聯(lián)系我們 |
招聘信息 |
版權(quán)聲明 |
豁免條款 |
友情鏈接 |
中華網(wǎng)動(dòng)態(tài)
