家用摄像头对准马路:数十万家用摄像头遭破解
家用摄像头对准马路:数十万家用摄像头遭破解资深安全专家杨卿表示,摄像头被破解的问题很大程度上是一种“历史遗留问题”。就像路由器一样,摄像头通过被用户不当设置及观看管理的网络地址暴露于互联网,访问者通过输入默认密码或弱密码等方式就能控制摄像头。传统的摄像头厂商或小品牌厂商没有意识到其中的隐私安全风险,在产品交互设计中很少有提示用户更改默认密码。很多用户也缺乏一定的安全意识,一直在使用默认密码管理摄像头,所以很容易被他人破解。另一名卖家则专门销售酒店的摄像头破解账号,称单价是450元,还具有视频回放功能。AI前哨站调查发现,目前在多个摄像头相关贴吧,不少人在售卖摄像头账号,以“摄像头精品id”、“居家”、“九店”等字眼发帖,意为有住所、酒店等摄像头破解账号、视频。1月9日,有卖家通过QQ向AI前哨站发送了家用摄像头的破解画面视频和图片。视频显示有多个家用摄像头对床画面,为了展示账号真实性,卖家还发送了一张实时截图,称“精品对床三十个”
你在家中是否安装了摄像头?要注意了,可能有人破解了摄像头并正在偷窥你的生活。
近日,温州警方破获了一起非法控制家用摄像头案。据悉,犯罪分子非法售卖家用摄像头破解工具,并通过破解工具控制了数十万只家用摄像头。
1
据央视财经报道,在此次案件中,警方陆续在全国二十多个省份抓获犯罪嫌疑人32名,查获数十万个已破解摄像头账号,初查涉案金额十万余元。民警表示,遭破解的摄像头基本都设置了原始密码,公众安装摄像头后应修改密码,也不要将摄像头安装在相对私密的地方。
AI前哨站调查发现,目前在多个摄像头相关贴吧,不少人在售卖摄像头账号,以“摄像头精品id”、“居家”、“九店”等字眼发帖,意为有住所、酒店等摄像头破解账号、视频。
1月9日,有卖家通过QQ向AI前哨站发送了家用摄像头的破解画面视频和图片。视频显示有多个家用摄像头对床画面,为了展示账号真实性,卖家还发送了一张实时截图,称“精品对床三十个”要188元。
QQ截图。不仅如此,卖家还称其售卖一款388元的破解软件,能扫描某品牌的全国联网摄像头,并称摄像头数量多到扫描不完。
卖家提供的破解视频截图。另一名卖家则专门销售酒店的摄像头破解账号,称单价是450元,还具有视频回放功能。
资深安全专家杨卿表示,摄像头被破解的问题很大程度上是一种“历史遗留问题”。就像路由器一样,摄像头通过被用户不当设置及观看管理的网络地址暴露于互联网,访问者通过输入默认密码或弱密码等方式就能控制摄像头。传统的摄像头厂商或小品牌厂商没有意识到其中的隐私安全风险,在产品交互设计中很少有提示用户更改默认密码。很多用户也缺乏一定的安全意识,一直在使用默认密码管理摄像头,所以很容易被他人破解。
近两年,部分重视安全的摄像头厂商在研发产品时候会加入一些安全提醒,也会引导用户初次使用时更改默认密码或设置强密码。“但在不了解产品网络安全事故责任及保护用户隐私的前提下,一部分摄像头厂商在安全上的资源投入则很有限,产品设计与漏洞防护上都做的不是很到位,所以还有很大的改进与优化空间。有关部门也在推动制定完善IoT类相关的产品安全标准,明确企业在用户信息泄露事故中需要承担的责任。责任一旦明确了,企业对于自身产品网络安全保障的要求也会随之加强。”
360安全专家葛健介绍,家用摄像头被破解往往有以下原因:
1、某些无牌或小众的摄像头产品,在研发设计的过程中,没有将传输的数据进行加密,或者调试接口未进行隐藏,存在被不法分子获取视频源的情况。
2、某些无牌或小众的摄像头产品,未对设备和账号进行安全校验,不法分子获得用户摄像头账号后,可以进行登录。
3、某些带默认密码的无牌或小众的摄像头产品,用户在使用时,并未修改默认密码。存在不法分子使用默认密码登录的情况。
4、某些用户摄像头设置的密码为简单密码或自己的所有账号体系都用一个密码,用户某一个平台的账号信息泄露后,不法分子通过账号撞库的方式登录用户的摄像头。
2
中国裁判文书网资料显示,以2017年为界,涉及到摄像头的违法犯罪活动出现了一个明显的分水岭。在此之前,摄像头往往被作为一种非法偷拍工具,如丈夫监视妻子是否有外遇,下属调查上司并借机敲诈勒索,等等;近两年来,破解家庭摄像头的犯罪开始增长,有关判例随之出现。
据AI前哨站梳理,2017年以来,法院已至少判决了10起非法破解家用摄像头的案件。其中,有人在自己的手机上安装破解软件,偷窥他人隐私;有人在入侵家用摄像头的“同好群”里免费分享破解软件;还有人通过出售软件、教程、摄像头IP及私密视频非法牟利,获利在2000元到10000元不等。
尽管上述公开案例中出现的破解软件名目繁多,但软件的原理基本相似。使用者输入指定的IP号段范围,软件就能自动扫描并筛选有漏洞的IP进行破解。筛选完成后,使用者便可以逐个浏览并控制调整被破解的摄像头。在上述案例中,被告人破解的摄像头数量均在30台以上,最多的近100台。
最终,被告人往往因“非法控制计算机信息系统罪”“非法获取计算机信息系统数据罪”及“提供侵入、非法控制计算机信息系统程序、工具罪”等罪名被处罚。一些借机出售淫秽视频的被告人,还被判处贩卖淫秽物品牟利罪。
罪名成立后怎么处罚?AI前哨站梳理发现,10起案例中的罚金大多在5000元以下,有期徒刑则多在一年以内。情节特别严重或是数罪并罚的,最长被判处罚金1.3万元,有期徒刑一年六个月。
值得注意的是,不管是否通过破解摄像头获利,分享、传播破解软件的行为本身已可能构成违法。在2017年的一起案件中,被告人杜某柱在网上搜到了免费破解软件和已破解的家庭摄像头IP。尝试成功后,他新建了一个QQ群,与入侵家庭摄像头的爱好者交流分享破解软件及IP信息。截至案发时,破解软件共被群成员下载35人次。法院判决杜某柱犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑九个月,并处罚金人民币5000元。
无独有偶,近两年,国外也频频曝出家用摄像头被入侵的案例。在这背后,是家用摄像头的飞速普及。市场研究机构Strategy Analytics于去年发布的一份报告显示,2019年全球消费者将在智能家居摄像头(包括可视门铃)上支出近80亿美元,到2023年,全球消费级摄像头销量将激增至超过1.11亿台。家用摄像头的安全风险,已经成为人们必须正视的问题。
普通民众如何防范家用摄像头的安全风险?葛健建议,选购摄像头时,首选知名品牌。这些产品多采用HTTPS方式进行双向认证交互,对用户进行身份认证。同时,采用私有加密协议传输视频数据,保证数据流传输的安全性。
葛健说,如果摄像头存在默认密码,用户要及时修改。同时应针对摄像头账号设置单独的不同于自己常用的密码。
采写:南都记者冯群星 陈志芳 潘颖欣