如果沒有人告訴你,你可能永遠都不會發現,你究竟是如何在不知不覺中,被迫成為了24小時不間斷的「直播up主」。
文 | 宋思宇 編輯 | 星煮
不法分子通過App破解工具對全國數十萬隻家用攝像頭進行非法控制,並出售相關帳號和密碼以此獲得高額利潤——近日,浙江溫州警方破獲的一起非法控制家用攝像頭案,令許多人後怕不已。
家用攝像頭以安全防範功能為主打,安裝家用攝像頭後,使用者可通過客戶端、網頁等隨時隨地觀看家中實時視頻,並可通過遠程控制台控制攝像頭拍攝角度,利用語音功能與家中人員進行實時對話。
其強大的功能成為了許多擔心老人、兒童獨自在家發生危險、長期出門在外想隨時監測家中異動等群體的新選擇。
然而,家用攝像頭不僅方便了自己察看,也給了許多非法分子「偷窺」自己私人生活的機會。
臥室、衛生間、浴室等私密場所被毫無保留地展示在網絡上,部分尺度較大的內容更是被截取成視頻片段,以高價賣出。《新京報》曾報導,因攝像頭泄密,一位媽媽從懷孕期到哺乳期的家庭生活,竟全程在網絡同步直播。
而這些如果沒有人告訴你,你可能永遠都不會發現,你究竟是如何在不知不覺中,被迫成為了24小時不間斷的「直播up主」。
侵入家庭攝像頭,並不像你想像得那麼難
直接訪問視頻設備是攻擊者最常用的攻擊方式,其通過破譯相關無線網密碼、設備管理帳號的用戶名和密碼等得以實現,使用者在使用過程中對於用戶名和密碼設置的疏忽,更是使得這種攻擊方式「輕而易舉」。
一般來說,攻擊者想要控制一個視頻設備,可通過本地網絡訪問及遠程網絡攻擊兩種方式。
通過本地網絡訪問攝像頭,即入侵攝像頭所連接的無線網絡。在本地網絡中,攝像頭並不總是被加密保護的。攻擊者只需在攝像頭所連接的無線網絡範圍內,運行特定程序,破譯相應無線路由器的密碼, 即可對攝像頭甚至其他連網家用智能設備進行控制。
建立欺騙性網絡也是通過本地網絡入侵攝像頭的一種方式。攻擊者通過建立信號更強並與本地網絡具有相同伺服器標識的網絡,來引誘攝像頭設備進行連接。當攝像頭與欺騙性網絡相連後,攻擊者就可以對相關視頻設備進行隨意訪問。
由於大部分設備在連接曾連接過的無線網絡時,並不會對使用者進行二次提醒,因此,一旦設備對欺騙性網絡連接成功,當設備再次進入欺騙性網絡的信號範圍內時,設備將自動進行連接,使用者卻很少發覺。
對於家庭攝像頭來說,遠程網絡攻擊式入侵更為常見。當攝像頭通過網際網路傳輸視頻源時,攻擊者將對其視頻信號發起密碼攻擊,設置為弱密碼或默認密碼的設備,往往成為了攻擊的犧牲品。
市場上所出售的家庭攝像頭通常已由廠家設置統一的默認密碼,每類品牌的密碼大多統一,且在網絡中可輕易查詢。許多人抱著「沒有拍私密鏡頭,密碼不用更換」的心態,在購買攝像頭後,並未對帳戶名和密碼進行更改。攻擊者在破解一類品牌密碼後,往往等於掌握了上萬台保持初始設置狀態的攝像頭。
一些攝像頭使用者哪怕是對初始設置進行了更改,也對密碼的設置極為草率,選用「123456」等極為常見的密碼字符,這一類的「弱密碼」設備,也是攻擊者的重點攻擊對象。
弱密碼,即容易破譯的密碼,其通常為具有簡易規律的字母或數字,如「000000」、「abcdef」等,因其簡單易記性,被大量人頻繁使用。
攻擊者利用破解軟體,對人們設置頻率較高的弱密碼,進行大面積地掃描式嘗試,即可獲取可破解的設備的IP位址、用戶名、登錄密碼等信息,通過特定的播放軟體,開始「偷窺」了。
如何使用家庭攝像頭更安全
1.對所選品牌廠家進行充分調查
在購買家庭攝像頭前,購買者可以對所選廠家的滿意度、安全性進行查詢和調查,正規廠家在產品安全設計、和隱私保護政策上,往往考慮得更加完善。
在安裝過程中,應對使用條款進行仔細閱讀。某品牌攝像頭曾在條款中以小字的形式標註「所有人都可以在廣場看到您的直播」,致使部分用戶忽略該條款,選擇打開「完全開放」功能,視頻畫面在網絡大量泄漏。
同時,也要注意通過正規渠道進行購買,購買一個「三無」的家庭攝像頭,約等於邀請攻擊者在家中無人時,隨時進入自己的家門。
2.設置安全係數較高的密碼
修改密碼,是防範攝像頭被遠程攻擊的唯一可靠方式,在使用攝像頭前,使用者不僅要對初始的用戶名和密碼進行修改,也應注意修改後的密碼的安全係數,避免修改後的密碼過於簡單,出現頻率過高。
美國密西西比州曾發生一起攝像頭安全性事件,攻擊者入侵了家庭攝像頭,並通過攝像頭對家中8歲的女孩進行言語操控,鼓勵其進行種族歧視,並在家中實施暴力行為。
事後,其母親承認並未對家中攝像頭設置雙重因素的身份認證,這無疑是降低了密碼破譯難度,大大增加了攻擊者的入侵機會。使用者可根據密碼設置要求對數字、英文等密碼字符進行靈活運用,姓名、生日等易於獲取的個人信息,也不是密碼設置的最佳選擇。
同時,也應避免不同服務的帳號的用戶名和密碼完全相同,Ring攝像頭曾陷入一起隱私泄露的案件中,後經調查,攻擊者並未對攝像頭的安全系統進行破壞,而是利用在其他服務軟體上獲取的用戶名和密碼信息,登錄了這台私人攝像頭。
3.避免直接拍攝隱私區域
想要隱私不被泄露的最根本的解決方式就是避免拍攝。在安裝攝像頭時,使用者可避免對浴室、衛生間、臥室等可能出現私密行為的場景的直接拍攝。
也可在進行更換衣物等私密行為時,對攝像頭進行遮擋,或直接切斷攝像頭電源。如果你安裝攝像頭只是為了方便家中無人時實時監控,那麼完全可以在家中有人時關閉攝像頭,家中無人時再開啟就好。
4.多多留意細節性問題
攝像頭被入侵往往不易被發現,一些攻擊者更是選擇針對嬰兒、幼兒等行為觀察能力較差的群體的攝像頭進行入侵。
在家庭攝像頭使用過程中,應對細節性問題多多留意。
定期查看攝像頭的拍攝角度及拍攝畫面,如果發現攝像頭的拍攝角度發生偏轉,那麼很可能你家的攝像頭已經被人遠程操控,需要儘快對密碼進行修改。綁定帳戶的手機收到異常的簡訊驗證碼後,也要多多留意,防範是不是有人在偷偷修改你的密碼。攝像頭的內存有限,攻擊者在入侵攝像頭時,往往會對攝像頭的運行造成超額負擔,導致設備性能低下等問題。值得注意的是,造成性能低下的問題有很多,在發現攝像頭工作出現問題後,應首先對設備的硬體、信號接觸等方面進行排查。
智能化產品的不斷運用讓隱私泄露的問題越來越突出。家用攝像頭的視頻搜集、雲端存儲等功能,不僅方便了自己對於家中狀態的查看,也將自己的私人化生活成為了不法分子的獵取目標。
我們在享受智能化生活帶給自己的便利的同時,更要學會對自己的生活負責。
認真設置每一個設備用戶名和密碼、閱讀每一項安全協議、不隨意泄露自己的個人信息、不將自己的隱私行為暴露在開放的環境下,對於智能化產品安全使用、正確使用。
儘自己所能,維護好自己的權利和利益,在安全的環境下,享受智能化發展帶給自己的精緻生活。
參考連結:
1.https://www.cnet.com/how-to/how-to-prevent-your-security-camera-from-being-hacked/
2.https://www.cnet.com/news/set-up-two-factor-authentication-to-keep-your-ring-camera-from-getting-hacked/
3.https://www.usatoday.com/story/tech/2019/12/13/how-secure-your-home-surveillance-cameras-getting-hacked/4407914002/
來源|南都周刊
END