【深度】谁在网络背后窥视我们的隐私?

时间:2021-12-28来源:栏目:互联网

记者|蒋景玲张雨桐编辑|宋嘉楠一个这个安排在别人房间的摄像头账号来得太容易了,张舟(化名)既兴奋又害怕。只要花费不到400元,就可以在匿名社区购买一个App的登录账号。该App...

记者|蒋景玲张雨桐

编辑|宋嘉楠

一个

这个安排在别人房间的摄像头账号来得太容易了,张舟(化名)既兴奋又害怕。

只要花费不到400元,就可以在匿名社区购买一个App的登录账号。该App包含大量未锁定的隐私摄像头监控截图,成为会员后即可即时解锁观看权限。

这些摄像头对准的是他们不知道是谁家的卧室或客厅。图中,人们来来往往,有的在换衣服,有的在喂宠物,休息.他们想用摄像头监控家里的情况,却不知道自己被另一群人“监控”了,他们的一举一动都被摄像头控制,让屏幕后面的陌生“眼睛”随意窥视。

这位代号为“909”的卖家在个人资料中写道,在匿名社区“有很多私人视频”。短短八个字,字与字之间有很多表情符号和同音字。他的头像由密密麻麻的私人小视频图片拼接而成,中间有一排斜插的红色大字,这也是他的微信账号。

在买卖的过程中,“909”没有很快回复,但话很简单。当张舟试图了解这些摄像头的权威来源时,“909”非常警惕,称这些都是“机密”。他强调自己只是其中一名特工,他的账户随时可能被封。

摄像头被破解,抓拍到的图像被很多人观看,甚至被当做商品转卖。其实这并不是什么新鲜事,但真正的隐私风险远比我们想象的严重:很多手机人脸识别算法很容易被一张照片破解;一旦智能音箱被入侵和控制,将直接获得家中所有智能产品的控制权;一旦智能门锁被破译,你的门随时可能被陌生人打开.

在万物互联的时代,当人们之间的距离越来越近的时候,各种智能终端却在以各种方式吸走我们的隐私。一旦这些智能设备被入侵,包括网络IP、Wi-Fi、录音、录像等功能在内的隐私系统就会被侵蚀得如同被放进了潘多拉魔盒,“毒药”就会蔓延到难以控制的灰色地带。

隐性灰分生产

哪里有需求,哪里就有便利和市场。

张舟只是众多屏幕背后的“看客”之一。为了满足这些“看客”的好奇心和窥探欲,形成了以相机为中心的灰色产业链。这些包括相机销售商和安装商、账户破解技术提供商、账户销售员、下游买家等等。

在上述匿名社区中,明确标注“摄像头破解”的账号所有人告诉界面记者,这些摄像头有的来自酒店等地私下安装的摄像头,已经被“篡改”,有的来自黑客软件破解的摄像头。账户主处于产业链上游,其业务主要依赖这两部分。

据他说,带“后门”的相机售价大概在三四百元左右。安装摄像头后,除了正常功能外,还可以通过内置程序在不了解被摄主体的情况下操作摄像头,包括录屏、直播、角度调节等。此外,他还出售一些隐藏的相机,大多用于偷拍。

据这位人士透露,黑客软件破解的摄像头数量比私装的多得多,通过软件就可以实现批量获取,成本和风险都非常低。

他没有具体透露可以批量收购多少。然而,2021年4月,北京市第三中级人民法院披露的一起案件显示,一名叫吴某某的被告人,通过网上购买的“类傻子”反编译软件,通过技术外包人员的重构,轻松控制全球18万台摄像头,然后在私宅内收集或录制大量裸视频,在网上销售。

一位长期从事智能摄像头监控的工程专家告诉界面记者,该软件类似于IP扫描仪。只要你进入全球任何一个地方的IP细分市场,通过搜索某个品牌的摄像头的特性,就可以在IP细分市场找到该品牌的所有智能摄像头。如果用户的摄像头密码太简单甚至没有密码(弱密码),可以直接登录系统偷窥。

“一旦黑客发现漏洞,任何手机都可以冒充你的手机向摄像头发送指令,相当于摄像头脱离了主人的控制,成为黑客窥视隐私的工具。而整个过程,你都没有意识到。”小墩安全产品技术部部长徐敏指出。

这些非法获取的信息背后蕴含的可观商业价值,成为黑产品不断挖掘、交易、使用私人数据的原始动力。这些私密数据的使用场景相当广泛,音视频多用于偷窥和恶意传播,而身份识别等更多私密信息在暗网上大量出售,经过大数据图像分析后用于营销场景和诈骗等。

很难直接估计隐私数据的具体商业价值,但与正常的信息交易相比,显然是有利可图的。吴某某案显示,2018年至2019年3月5日,该案被抓获,其通过互联网推广上述摄像头实时监控画面,非法获利70余万元。即使在被抓获后的2019年3月5日至3月26日的短短21天内,专门为销售监控实时图像收钱的第三方支付平台仍获得17万元。

脆弱的隐私防线

灰渣生产的肆意横行与隐私保护水平低直接相关。

2020年11月,在国际计算机协会举办的智能感知系统大会上,美国马里兰大学和新加坡国立大学的一篇研究论文提到,其研究团队成功远程入侵一台家用扫地机器人,使其充当窃听器“窃听”屋内私人信息。研究表明,即使没有安装传统的“窃听器”,犯罪分子也可以操纵家用设备窃取他人信息。

来自中国的公司也做过类似的测试。人工智能公司瑞来智慧曾经利用发现的手机人脸解锁重大漏洞,利用ai算法生成特殊图案,然后定制成“眼镜”佩戴,让手机人脸解锁系统瞬间失效——对于覆盖不同价位的20款低端机和旗舰机,15分钟内即可破解。最后,除了一款iPhone11,还有19款其他机型。

安卓机型全部解锁成功。

瑞莱智慧相关产品经理告诉界面新闻记者,这一漏洞涉及所有搭载人脸识别功能的应用和设备,包括门禁、智能电视甚至自动贩卖机。攻击测试人员成功解锁手机后,不仅可以任意翻阅机主的微信、短信、照片等个人隐私信息,甚至还可以通过手机银行等个人应用APP的线上身份认证完成开户、转账。

在奇安信天工实验室安全专家于淼曾做过的攻防测试中,智能音箱、智能路由器、智能门锁都曾被完全获取过最高级别的控制权限。和摄像头一样,一旦被入侵控制权限,他人就可以在主人毫不知情的情况下操控设备。

于淼告诉界面新闻记者,侵入智能路由器可以Wi-Fi信息为入口,进一步入侵电脑等各种联网设备,从而获取各种身份信息;侵入智能门锁,则会直接威胁财产安全。而一台可用语音口令操控全屋智能设备的智能音箱,一旦被破解,屋内其他相关智能设备都会被控制,比如电视、扫地机器人、厨房电器、窗帘等等。

通过入侵各种带有录音、录像功能的设备,黑客可以获取的信息面极为广泛。去年12月31日,国外智能家居摄像头制造商Wyze承认,因为员工误操作删除了其数据库安全协议,导致Wyze公司240万用户的数据被泄露。相关报告显示,Wyze泄露的数据包括用户的电子邮件、相机昵称、Wi-Fi名称、体重和性别等健康数据,以及用户在Wyze设备上的信息。

音频、视频、身份信息、行为习惯、生物特征都可以被这些设备所记录。“这也意味着,对你隐私的收集和暴露可能会是全方位和无限的。”于淼表示。

投入与成本博弈

一些公司面对数据漏洞所产生的不同态度,也在某种程度上助长了灰产的进一步延伸。

一位要求匿名的技术专家告诉界面新闻记者,在一次国际安全大赛上,他们曾经发现两家公司的商用产品存在漏洞,分别是路由器和智能音箱。如若利用这些漏洞,可以直接获取产品的最高权限,实现远程控制产品。

该路由器厂商即使在收到免费的漏洞包以后,仍然表示不在意;智能音箱厂商则用技术手段“开后门”阻止了漏洞爆出,并要求私下沟通,后自行修复。

“一个是觉得面向B端(企业端)用户,更重销售渠道,(漏洞)影响不大;另一个,则是觉得公开漏洞有损品牌形象。”该专家表示,在处理外部提交的漏洞方面,国内厂商尤其是物联网厂商缺少正确的反馈机制,本质上是对安全的重视程度和规范不够。

物联网设备在近些年才正式普及开来,行业处于早期爆发阶段,安全问题也随之增长。

根据NVD(National Vulnerability Database)数据统计显示,近年CVE(Common Vulnerabilities & Exposures)物联网相关漏洞数量显著增长,尤其自2017年以来,CVE允许个人申报之后,漏洞增长呈指数级爆发趋势。

图源:齐安信物联网漏洞报告

要想更好地保护用户隐私,要求设备具有更高的安全防护水平,但对于一些厂商来说,技术实力有限的前提下,安全防范更像是一种博弈。

于淼提到,很多厂商为了充分保障安全,需要在产品性能和成本之间保持动态平衡,三者相互影响。理论上说,如果企业提高产品的安全性,那么产品功耗可能随之增大,产品性能则相应降低;而追求极致性能,产品又会面临较大的安全风险,成本也相应提升。

因此,在物联网设备行业发展早期,不同的产品追求拉大了不同水平厂商在安全性上的差距,也为行业的混乱埋下了种子。

“目前很多中小厂商的产品在安全性上十分薄弱,甚至到了不堪一击的水平,一个有经验的黑客也许可以在十几分钟内找到问题所在,完成对摄像头的破解。”徐敏称。对于中小厂商来说,市场需求快速迭代,技术实力也有限,因此它们对功能性需求的优先级更高,隐私保护则被排在后面。

反观一些大厂,出于品牌声誉度的考虑,对产品安全方面会更加重视,主要体现在产品出厂前会有相对完善的安全检查标准,在出厂后遇到漏洞问题能够及时修复。“如果产品本身有问题,出现漏洞也不修,遭殃的就是用户。”于淼说。

作为一家以安全业务为主的公司,瑞莱对人脸识别进行漏洞捕捉的技术并未对外开放,主要用于帮助B端厂商发现并优化漏洞。但瑞莱智慧一名产品经理发现,一部分厂商会针对问题做出调整,一部分则不会。“关于内生安全思想并没有被行业所有人都接受,很多时候大家还是在考虑是不是有特别大的不可承受的损失,或者有相应的法律法规来要求我做这件事。”

等待监管加码

随着国家层面对个人的隐私的不断重视,不论是微观的的规制还是宏观的监管都越来越明确。

此前中央四部门曾联合发布过一则公告,决定自2021年5月至8月,在全国范围组织开展摄像头偷窥黑产集中治理。“近年来,不法分子利用黑客技术破解并控制家用及公共场所摄像头,将智能手机、运动手环等改装成偷拍设备,出售破解软件,传授偷拍技术,供客户‘偷窥’隐私画面并借此牟利,已形成黑产链条,严重侵害公民个人隐私。”公告中提到。

集中治理期间,公安机关共抓获犯罪嫌疑人59名,收缴窃听窃照器材1500余套。

法律层面上,我国也在不断加强对网络安全和个人信息的保护工作。2012年《关于大力推进信息化发展和切实保障信息安全的若干意见》发布;2016年《中华人民共和国网络安全法》颁布;2019年出台《信息安全技术网络安全等级保护基本要求》,同一年《儿童个人信息网络保护规定》生效;2020年,《关于深入推进移动物联网全面发展的通知(2020)》印发等。

物联网普及的五六年来,作为网络攻防工程师,于淼感受到,虽然整体行业的安全程度还不够,但是纵向上安全情况和重视程度也在逐步提高。

在日常对设备进行攻击测试的过程中,他发现,三四年前能够很轻松从80%的设备中提取出相应的固件、寻找到漏洞,如今大概只能顺利提取出50%左右。固件安全防护的明显提高,意味着厂商对于用户隐私的保护水平也提高了。

“新的法规制度不断出台和落地,监管一定是越来越趋于规范的。在此背景下,企业必须更好的规范自身的业务才能好好活下去。”瑞莱智慧CEO田天说。

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://www.jiatu888.com/hlw/87746.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网