“国民无隐私”这口“锅”,李彦宏可能还真背不动。
近期,一则“卖家称可批量破解各地家庭摄像头、数万条偷拍视频在聊天群内传播叫卖”再度登上微博热搜,引发全微博民众的热烈讨论。消息称,有记者经数月调查,打入了偷拍视频黑产链内部,了解到惊人的内幕。在酒店、美容院、试衣间甚至浴室、厕所等地,针孔摄像头偷拍无孔不入,情侣、女性大量私密画面被明码标价叫卖。
而且,让人不寒而栗的是,这些偷拍摄像头均能远程控制,可以推拉摇移局部放大。被贩卖的视频数量之多、暴露隐私私密之深令人震惊,且一段视频的价格从20元到几百元不等,贩卖者表示,根据刺激程度定价,还可以先行提要求“私人订制”。
近些年各种震惊全国形形色色的摄像头“偷拍”案仍历历在目,如今这一事件也再度引起全民对于居家环境、酒店、卫生间、试衣间等各类私密场合因被偷拍而导致的隐私疯狂泄露的恐慌。
家用摄像头究竟是如何被入侵的?
随着市场刚需的逐步打开,家用摄像头的价格如今已越来越便宜。几十到几百元不等的价格,让几乎任何普通家庭,都能享受到居家安防带来的便利,但这种便利往往伴随着风险,随着越来越多震惊全国的摄像头窃密事件被曝光,小到私密居家环境,大到国际知名五星级酒店,疯狂的隐私窃取的背后,也逐步映射出厂商和黑客对大众利益的不负责。
事实上,随着近年来家用摄像头设备价格的飞速下跌,厂商对于摄像头设备的产品质量尤其是安全方面的保障可谓是越来越不负责。据记者了解,如今不少摄像头设备供应商出于软硬件成本的考虑,在摄像头的漏洞修补、安全措施保护以及网络端口的加密等方面已经是越来越不上心。
更有甚者表示“不是不修补漏洞,是修补成本太高”。而且,有些厂商内部人员甚至私下与黑产链人士勾结,收取一些“好处费”,故意暴露摄像头产品的安全漏洞,包括权限绕过、拒绝服务、信息泄漏、跨站、命令执行、缓冲区溢出、 SQL注入、弱口令、设计缺陷等,进而给黑产链人士放行,以达到不可告人的商业目的。
当然,除了通过摄像头漏洞入侵之外,近些年,不少黑客还通过摄像头设备漏洞植入僵尸程序并发起DDOS进行攻击。除此之外,比特币等加密货币的发展盛行,也为利用摄像头设备传播挖矿病毒培育了土壤。由于越来越多摄像头具备的联网和云端存储,甚至公网开放服务等功能,这更是给大量黑客以可乘之机。
现在的智能摄像头由于具备远程操控功能,所以需向云服务上传监控视频,自动更新软件等使用需求,必须时刻和网络连接。正常摄像头的管理都处于内部网络中,外部无法访问,但仍有很多因素导致摄像头对外部开放,并暴露在互联网中。一是由于跨地域的摄像头管理需要开放摄像,如通过路由将摄像头的相关端口映射到外网中;二是用户仅考虑可用性,由于错误的配置导致直接外网可以访问。
比如通过访问摄像头的80端口、443端口、81端口、8080端口以及554端口,即可直接入侵摄像头内部。据了解,Web服务的默认访问端口为80和443,80端口对应标准协议为http;443端口对应标准协议为https;81和8080端口大部分也是http或https协议。由此可看出,目前主流的摄像头都提供Web管理接口。除此之外,554端口默认对应rtsp协议,rtsp作为实时流传输协议,是摄像头视频流传输的主要应用协议。
但通常来讲,摄像头厂商一般会在漏洞公开一周内更新补丁,更有甚者更新时间长达一月甚至数月,用户也并未知晓自身隐私已被泄露的情况下,厂商也可能表现出不作为的状态。而这些设备往往来源于不同的平台制造商,因此即便在最快的情形下,漏洞补丁公开后,也很难在第一时间有效地是实现跨平台的信息发布和部署更新。这就导致设备得不到及时更新,漏洞率居高不下,问题频出。
万条视频疯狂“售卖”之下 数亿人“生活”正被侵害
相信国内摄像头领域像黑客破解、隐私信息交易、偷窥这类黑产链屡见不鲜,虽然其中有部分获益者已受到相关部门的惩罚,但这显然仅仅只是冰山一角。冰山之上,是晶莹剔透的摄像头市场蓬勃发展的景象,但冰山之下,仍流通着数以亿计的黑产隐私信息。大量用户在毫不知情的情况下,被人直播、被人曝光、被人侵害。
有需求就有供应,有业内人士对记者表示,其实有一些不知名的摄像头厂商,能通过这种方式赚不少钱。更不必说对于黑产从业者来说,这显然是利滚利的买卖,因为一条视频可以无限售卖,不需要额外摊销成本,好比一段视频的价格从20元到几百元,仅通过卖这段视频,黑产从业者就能有好几十倍的收益。所以,有些不知名的厂家宁愿冒点风险也愿意与这些黑产从业者合作。
这也引出了另一大问题,尤其是随着当下越来越大量的智能摄像头被安装和使用,遍布公共环境、居家环境、餐馆、酒店、校园、教室等各类场所,民众的隐私几乎暴露于无形之中。相比前不久争议颇多的人脸识别隐私泄露问题,视频资源的大面积泄露和疯狂曝光,将直接危害全民的生活和最基本的人身安全,长期下去,问题将如滚雪球般越积越大,逐步演变为不可调和的社会矛盾。
不妨设想一下,未来随着智能手机向更多摄像头的方向发展,个人信息将成为黑客的囊中之物,如今市场上就已经出现这一趋势,若不加以遏制,未来智能手机的各类摄像头恐怕也将全部沦陷,更比不谈物联网时代,“物均”摄像头所衍生出来的“黑色恐怖”。
在这一现象级事件当中,用户的力量始终是极为有限的,在各种类似案件爆发之后,用户只能通过舆论来推升这一事件的关注度,但并不能够做到遏制的程度。毕竟,各类摄像头泄密事件的背后,潜藏在背后的是一大堆的技术性和政策性漏洞,需要国家相关部门出台政策从生产源头上解决问题,对整个摄像头硬件和软件行业进行整顿和规范,重点打击无资质和非法的生产商,并且严查有资质的生产商的业务合规性,加重黑产链的量刑力度,才能真正解决广大用户内心深处的恐惧和担忧。
