2020年05月12日 星期二
当心!物联网设备 正在“出卖”你的隐私
鲁 畅 赵 旭

    烽火台

    韩国“N号房”事件发生后,再度唤起公众对摄像设备泄露隐私的担忧。随着物联网发展进程加快,物联网智能摄像头、智能家电设备愈发受到青睐。然而,一些创造便利的物联设备也可能成为不法分子窥探隐私的“千里眼”“顺风耳”,形成网络化、链条化的黑色产业链。

    记者通过摸底调查发现,不法分子可以轻易破解部分智能监控设备,并将破解软件、破解ID肆意在网上出售,无数用户的隐私暴露在他人的监视中。

    一些卧室早已没有秘密

    考虑到安全防范等因素,许多用户在家、公司不同位置安装了摄像头,通过手机端App可实时查看。这些摄像头处于长期开机拍摄状态,有的用户说“懒得重启,从不关机”。

    但用户本以为只能自己观看的监控画面,实际上却成了“实时公开播放”。

    记者以网友身份加入了以“摄像”“监控”为名的某社交平台群组。10多分钟后,一名群成员询问是否购买摄像头ID,随即发来10余张监控视频截图,其中大部分为家庭摄像头拍摄的场景截图,这些图片被设置“阅后即焚”,5秒钟后自动销毁。

    该成员称,摄像ID“普通的85元10个,好点的175元25个”,附赠操作指导。完成支付后,该成员发来24个设备列表名称,名称中标注有“客厅”“睡房”等字样。按照“教学”提示,记者下载了一款手机App,就可以登录查看实时的监控画面。

    更令人震惊的是,只要花320元再购买一款“破解软件”,用户便不用再单独购买摄像头ID,使用该软件可以快速破解1万个摄像头中的999个在线摄像头ID进行观看,相当于“包月”。

    那么,不法分子是如何破解家用摄像头并实现远程操控的呢?一方面,一些摄像头品牌使用弱口令注册账号,可以轻易被破解,而且有的可以不用注册直接连接摄像头设备;另一方面,黑客通过“拖库”“撞库”技术完成了对摄像头ID的破解。

    一旦用户的网络设备使用相同的登录账号和密码,就可以被“撞库”技术破解,变成公开内容。例如,从某邮箱网站非法获得大量个人用户登录信息后,这些账号密码就极有可能成为破解该用户家用设备的“钥匙”。若大型社交媒体或软件被“黑”,会有数以千万甚至上亿的个人信息泄露。

    摄像头、门锁、车都能被“黑”

    “物联网发展迅速,但对于个人隐私安全的保障相对滞后。”一位互联网安全从业人士坦言,相较于企事业单位使用的物联网安防设备,个人使用的智能摄像头、智能门锁以及采用物联网技术的私家车等设备,都存在被远程破坏或物理干扰破坏的可能性。例如家里的智能温控设备被“黑”后,可把“夏天”变成“冬天”,无人驾驶车辆被“攻陷”后极容易引发交通事故。

    近期,国家互联网应急中心下属的关键基础设施安全应急响应中心发布报告称,半个多月的时间内,针对特定漏洞的物联网恶意代码攻击事件数量达到6700万次,有单个组织对数10万个IP地址发起攻击尝试。可以认为,只要物联设备暴露到互联网上,随时有被攻击的可能,并且可能被不同组织反复攻击。

    在业内看来,安全意识弱是一个较大的漏洞。“很多人没有网络安全意识,或者存在侥幸心理,觉得网络被‘黑’的事情离自己很遥远。”在奇安信集团担任安全专家、高级架构师的一名工作人员告诉记者,不法分子还会去买同型号产品先做研究分析,找到针对性攻击手段,给安全管控带来更大的挑战。

    利用其他物联网设备充当“间谍”的也不在少数:自带摄像头的扫地机器人不断窥探着房间;智能音箱夜间突然发出“神秘笑声”;苹果Siri被曝出会在未经用户允许的情况下,将用户录音上传到服务器……

    物联网存在的漏洞更是成为了违法犯罪的“温床”。以利用摄像头盗摄用户隐私为例,其背后已形成完整的产业链,通常由开发出售摄像头破解工具、攻击网络摄像头、代理销售摄像头视频3个环节组成。各个环节分工明确,手段隐蔽。一些团伙使用虚拟货币进行交易以逃避监管,最终利用摄像头视频进行敲诈等。

    破解物联网设备窥探隐私远比公众想象的要简单,一些黑客软件可达到“零门槛”“傻瓜操作”的程度,一分钟就能安装上手。

    为物联隐私披上铠甲

    物联网领域违法犯罪行为对社会秩序和国家安全造成了威胁。随着相关技术不断进入实际应用,不法分子攻击的覆盖面也会增加,打击此类违法犯罪任重道远。堵住物联网下的隐私黑洞需要多方联防联治、密切协同,构建立体防御体系。

    相关办案民警表示,黑客犯罪案件仍处高发态势,应着力构建网信、工信、公安等各部门之间协调沟通机制,综合治理互联网黑客犯罪问题。

    中国互联网协会研究中心秘书长胡钢认为,网络安全的立法工作应坚持“快立频修”,高效快速立法,以应对新型网络犯罪行为。“司法机关要及时处理紧迫多变的涉物联网违法犯罪案情。”胡钢说。

    北京师范大学刑法所副所长彭新林提出,各部门应联合行动,加大对利用物联网设备犯罪行为的打击力度,在鼓励创新发展的同时加强行业监督和指导。网民也要增强安全意识,强化安全防护措施,发现黑客违法犯罪线索后要及时举报。

    企业要重视办公环境网络安全,定期检查摄像头等设备,建立网络安全防护体系,同时要重视对员工的网络安全培训,并在设备生命周期内做好软件、系统的漏洞修复、安全更新等运维工作。

    专家建议,网民对网络社交平台的账号、密码尽量采取分类管理,针对各个平台使用不同的密码,且尽量使用高强度的密码,还要经常性地更新重要网络平台的密码。在购买物联网设备时,建议从大厂商、正规渠道进行购买,注意选择经过安全检测的设备。

    (来源:《半月谈内部版》2020年第5期) 

京ICP备06005116