新華社上海1月24日電 題:家用攝像頭後面的「不法之眼」——智能攝像頭隱私洩露調查
新華社記者蘭天鳴、任垚媞
隨著物聯網進程加快,作為家庭安防設備的智能攝像頭正走進千家萬戶。記者調查發現,如今網上出現公開販賣破解智能攝像頭的教程和軟體。同時,有不法分子利用一些智能攝像頭存在的安全漏洞,窺視他人家庭隱私生活,錄製後在網上公開販賣。
智能攝像頭破解方法網上公開販賣
記者在名為「雲視通」「有看頭」「360攝像機」的百度貼吧裡發現,存在大量售賣家庭智能攝像頭破解方法和家庭生活視頻的帖子、留言,售賣價格從20至300元不等。賣家還宣稱使用體驗「猶如擁有上帝之眼」「科技改變生活」。
記者通過貼吧上的QQ號聯繫了多個賣家。在支付了100元後,一個名為「攝像頭技術開發」的賣家要求記者下載一個名為「雲視通」的智能攝像頭APP,並提供了5個攝像頭ID。操作並不複雜,只要在APP裡輸入ID和系統初始密碼,即可實時收看他人攝像頭的監控畫面。有的監控頻道甚至顯示「5人正在觀看」。
賣家還向記者推薦了名為「yoosee有看頭」和「360攝像機」兩款智能攝像頭APP,操作和「雲視通」類似,直接輸入ID和初始密碼即可實時收看。
畫面場景包括臥室、賓館、工廠、門店等。這些攝像頭大都具有夜視功能,即使黑暗中,也能將畫面拍攝清楚。有的甚至能實現「上下左右」角度調節、錄像、24小時回看、抓拍等功能。
此外,記者以184元的價格向另一位賣家「新宇科技」購買了一款名為「終結者」的電腦軟體,軟體號稱能夠掃描破解家庭攝像頭。記者依照使用說明,獲取了多個家庭智能攝像頭的直播畫面。
一位長期從事智能攝像頭監測的工程專家告訴記者,該軟體類似一個IP掃描器,只要輸入全世界任意地區的IP段,通過某品牌攝像頭的特徵搜索,就能找到IP段內所有的該品牌智能攝像頭。如果攝像頭密碼過於簡單或沒有密碼(弱口令),就能直接登陸系統,實施偷窺。
部分網售攝像頭存「弱口令」隱患
當前,存在安全隱患的智能攝像頭軟硬體大量出現在電商平臺上。
記者在天貓平臺上看到,「雲視通」智能攝像頭已有旗艦店和專賣店,其專賣店在首頁打出「中國安防行業領軍品牌,得到千萬用戶認可」的標語。
「雲視通」旗艦店的客服告訴記者,其品牌有的智能攝像頭確有使用「雲視通」APP,只要輸入ID和密碼就能實現監控畫面共享。
記者還在淘寶平臺上搜索「yoosee有看頭」,出來的智能攝像頭信息多達約1500條。在隨機詢問了部分商戶後,客服都告訴記者,自家智能攝像頭都在使用第三方的「yoosee有看頭」APP。
一個販賣「精品ID」的賣家告訴記者,儘管「yoosee有看頭」新版APP已經修改了「直接輸入帳號密碼看直播」的功能,但老版本在網上可隨意找到,不影響實時收看。
記者在應用商店隨機安裝了10款智能攝像頭APP。其中4款可以用弱口令註冊帳號,有3款可以不用註冊直接連接攝像頭設備,軟體並未作出任何明顯的風險提示和限定,有的軟體支持連接多個不同品牌的網絡監控攝像頭設備。其中,一款弱口令智能攝像頭產品在淘寶平臺上的月銷量近6000件。
杭州安恆信息技術公司安全研究院院長吳卓群曾為一些智能攝像頭企業做過安全監測。他發現不少廠商的產品在軟體設置上存在「不強制用戶修改初始密碼,甚至不設密碼」的問題。
「儘管現在生產者信息安全意識有所提高,但值得擔憂的是此前生產的存在安全漏洞的攝像頭已流入千家萬戶。」吳卓群說。
早在2017年,國家質檢部門就曾發布智能攝像頭質量安全風險警示,指出在市場上採集的40批次樣品中,32批次樣品存在質量安全隱患。
堵住智能攝像頭裡的「黑洞」
專家認為,堵住智能攝像頭裡的隱私安全黑洞,需要多方聯防聯治、密切協同。構建立體防禦體系,才能為智能攝像頭的安全漏洞打上「補丁」。
「廠商是堵住隱私安全漏洞的第一道關。」吳卓群認為,廠商不能只為市場競爭,削減在惡意代碼防護、雲加密、弱口令校驗、訪問控制等方面的技術安全投入,一旦安全事故的「灰犀牛」來臨,商家將喪失更多消費者。
中國電信上海研究院物聯網部視頻產品總監曹寧呼籲,儘快出臺在家庭視頻監控領域的信息安全技術標準,通過技術關口擋住窺探隱私的「不法之眼」。
國內攝像頭生產企業達數千家。他建議,大型視頻監控生產企業和第三方技術平臺商先行探索,逐漸確立家用視頻監控信息安全技術標準,並加以推廣。
「在網際網路時代,每個人都要為自己把關。」北京大學法學院副院長薛軍提示,消費者應當養成安全使用攝像頭的習慣,包括閱讀用戶協議、安全設置密碼、攝像頭安裝遠離隱私地帶等。如發現自己的隱私視頻流出,要立即對侵權行為人提出停止侵害的要求,並要求平臺刪除相關的視頻,用法律武器維護權益。
他還告誡,非法進入家庭攝像頭,不僅侵犯個人隱私權,如有販賣淫穢視頻的行為,還可能構成傳播淫穢物品的相關犯罪行為,甚至被追究刑事責任。直播平臺的經營者或網絡服務提供者,也可能要承擔相應的法律責任。