失控的攝像頭:誰在售賣你的私生活?
關鍵時刻,第一時間送達
來源 / 財經雜誌(ID:i-caijing)
文 / 張瑤 李瀟雄
歡迎下載騰訊新聞客戶端,關注科技頁卡,查看更多科技熱點新聞
本文首發於「財經雜誌」(ID:i-caijing)記者 張瑤 李瀟雄/文 李恩樹/編輯
現實版的《楚門的世界》在上演,如果恰巧安裝帶有安全隱患的智能攝像頭,你的家庭生活有可能也在網路中被掛牌叫賣。
上篇:誰是窺視者
2018年1月1日晚21時41分,一對年輕夫婦身著內衣靠在床上玩手機。藍色的印花床單上散落著幾個兒童玩具,一個穿著淺藍色衣服的嬰兒背靠父母在床腳睡著。
這時,安裝在天花板上的智能攝像頭突然開始轉動,年輕夫婦並未察覺這一異動。他們更不知道的是,攝像頭的另一端,有五個陌生人正在通過手機觀看他們的生活。這對年輕夫婦的姓名、地址不詳,但他們的私生活正被攝像頭同步直播。
事實上,有大量這種當事人並不知情的監控直播在互聯網上傳播,背後則是一條集黑客破解、買賣、偷窺於一體的網路黑產鏈。
行業調查公司IHS Markit2017年最新數據顯示,中國在公共和私人領域(包括機場、火車站和街道)共裝有1.76億個監控攝像頭。這些攝像頭理論上都有被入侵的風險。那麼,是誰在入侵?又是誰在窺視?
(圖/視覺中國)
楚門的世界
「需要小台嗎?實時直播,操作簡單。」2017年12月17日,《財經》記者隨機搜索並加入帶有「攝像頭」、「資源」關鍵詞的QQ群,立刻有賣家發來私聊。
小台,是指被攻破的智能攝像頭資源,用賣家提供的賬號和密碼,在手機端下載相應軟體後,輸入ID和密碼,便可入侵觀看對應實時監控畫面。收到10元轉賬後,賣家林曉(化名)發來一個賬號密碼,是一個智能監控平台軟體的賬戶信息。
當晚22時10分,用手機打開該APP,按照指示輸入買來的賬號密碼,一間卧室的實時監控畫面隨即彈出。
從畫面推斷,攝像頭應安裝於房間角落處天花板上,對著床。房間已關燈,但利用攝像頭的夜視功能,可見床上一對情侶睡卧,床被花色清晰。
22時35分,畫面左上角的「當前觀看人數」從2變為3。幾分鐘後,有觀看人通過手機操縱攝像頭調整角度,聲筒里傳出攝像頭雲台(底座)旋轉發出的輕微機械聲,畫面開始晃動。屏幕中央用於操控攝像頭角度的指針幾經擺動,最終停留在最左邊,女子的臉隨之完全暴露在畫面中,其輕微咳嗽聲也清楚可聞。
進入另一個被賣家稱為精品IP的「小台」,畫面顯示來自於一家按摩院。一張紫色按摩床上,趴著的女性正半露上身接受按摩師服務,雙方談話議價聲清晰。畫面左上角數字提示,共有5人在線觀看這場按摩。
另一個監控平台APP里,按照購買的賬戶密碼登錄,則可控制一戶家庭客廳的攝像頭,攝像頭對著紅色的沙發床和電視櫃。從視角推斷,這個攝像頭被放在客廳東南角的一張桌子上。連續觀察幾日可發現,每天接近傍晚,會有一個10多歲的小女孩進入房間,趴在沙發床上用平板電腦看視頻,一個身材微胖的中年男子,則喜歡靠在毯子上看電視。
一些監控平台軟體截圖。(資料圖)
這些陌生人的生活被同樣陌生的人窺視、存儲、記錄,目前無法統計有多少人的隱私如此被侵害,但僅一起公安機關破獲的案例中,一名賣家手中便被查出握有1萬多個賬戶密碼信息。這意味著,起碼有1萬多個攝像頭覆蓋下的場景毫無隱私可言。而這僅是一名賣家案發後被查出的數據。
如一名黑客所言,理論上,每個運行中的智能攝像頭都有被侵入的可能。「這是一場秀,每個人都在看著你。」電影《楚門的世界》中,無處不在的攝像頭包圍了男主角楚門的世界,他的生活被24小時直播。
現實版的《楚門的世界》也在上演,如果恰巧安裝帶有安全隱患的智能攝像頭,你的家庭生活有可能也在網路中被掛牌叫賣。
窺視者、賣家和黑客
對於買家而言,攝像頭賬戶的價格因場景而分級。
普通小台指被安放在家庭客廳、餐廳、辦公室等的攝像頭,價格為5元-10元;被稱為「精品」的資源,則瞄準卧室的床、浴室、按摩院等私密場所,價格從10元到50元不等。
買家更青睞那些有年輕女性居住的家庭攝像頭賬號。一個卧室小台里,大多數時間都無人在線,但到晚上主人回屋睡覺時,在線觀看人數就會多起來。被偷窺者們往往毫無察覺,除非偷窺者頻繁旋轉攝像頭,這類行為通常遭到偷窺群友的譴責,因為可能引來主人懷疑,攝像頭被關閉或更改密碼。
2017年6月17日早上6時,浙江杭州一個民居中,女主人突然發現安裝在家中客廳的攝像頭開始異常轉動,她手機登錄監控APP後發現,除自己之外,還有另一個陌生賬戶在線。隨後,女主人前往派出所報案。
不過,更多被偷窺者並不敏感。1月19日下午,一個被賣家稱為「客廳單女」的小台里,偷窺者操縱攝像頭轉動想看清客廳中女子的臉,女子似乎有所察覺,轉頭和攝像頭對視一會後,回頭繼續玩起手機遊戲,並未關閉攝像頭。
通過手機窺看他人生活的,通常是為滿足好奇心和窺私慾,一些人還會邊看邊在同好群里交流心得。許多偷窺者經常發布自己錄製的視頻,與其他人交流。一張發在QQ群里的截圖顯示,一個身著短褲坐在客廳沙發上玩手機的女子,正通過攝像頭被11個人在線觀看。「這也有這麼多人看?」賣家表示不解。
監護兒童,是大多數人購買智能攝像頭的目的,也是智能攝像頭的主要市場之一。大量流傳在QQ群、網盤的錄製視頻以及截圖裡,都有嬰兒床、兒童玩具等出現在畫面里。
需要特別指出的是,與傳統需與電腦連接或硬碟存儲錄像的攝像頭不同,當下市場流行的智能攝像頭,是直接使用Wi-Fi聯網,配有移動應用遠程查看。用戶安裝好智能監控後,只需下載專用的客戶端,即可實現遠程操控監控。
除實時監控及遠程操控角度外,許多與智能攝像頭搭配使用的監控軟體還有錄像、錄音等功能。
但這升級後的功能恰恰給黑客留下操作空間。
像其他網路賣家一樣,林曉同時販賣攝像頭暴力破解軟體,這些名為「刺客」、「千里眼」、「守望者」等軟體,下載後經過簡單操作,可以掃描到數十個賬號密碼,輸入相應播放軟體,實時監控畫面隨即彈出。
賣家散布在互聯網中,隱藏在各網名背後的真實身份各不相同,但入行的門檻普遍不高。
2017年4月,浙江省麗水市景寧縣網警偵查一起涉及8000餘萬條個人信息來源的案件,一個攝像頭資源賣家引起警方注意。經過三個月偵查,一名擅長變換上網地址的黑客落網。
王冀(化名),32歲,初中文化,河北邢台人。他通過瀏覽黑客網站的軟體,自學破解攝像頭方法,並將破解後的賬號賣出。王冀落網後,警方發現,1萬餘個包含攝像頭品牌、型號、IP地址、賬戶名和密碼的信息,被他以word形式存儲在電腦里。此外,王冀的電腦中至少有11款破解和入侵攝像頭黑客軟體,有手機、電腦等不同版本,出售價格從88元到300元的套餐不等。
景寧縣公安局網警大隊副隊長陳勇濤告訴《財經》記者,文檔里包含絕大多數國內知名攝像頭廠家的品牌,IP地址多位於廣東、浙江等地。
王冀沒有計算機基礎,他這樣的賣家,購買黑客軟體後經過簡單學習便可自起門戶,成本很低,處於金字塔狀黑產的產業鏈末端。在他的上家,是與其互不認識、提供攻破軟體的「工具黨」。
杜河(化名),浙江人,是王冀獲取這些軟體的上家,兩人不相識。杜河的犯罪行為主要是組建QQ群,召集王冀這樣的「愛好者」分享軟體牟利。目前,王冀和杜河均因涉嫌非法侵入計算機信息系統罪被批准逮捕。在北京市公安局網安總隊同期偵破的另一起同類案件中,6名出售軟體的賣家,18名購買軟體並非法入侵智能攝像頭的犯罪嫌疑人被捕。
但是,監控黑產鏈遠比暴露在視野中的長,分銷商和工具黨之上、位於金字塔頂端的是一些掌握頂尖技術的黑客,他們能迅速發現、攻破安全漏洞,編寫滿足不同需求的破解軟體。
「不要問我怎麼破解監控攝像頭,因為實在太簡單。」一名黑客說。
一些黑客利用程序工具攻擊,一秒鐘便可攻破大量攝像頭。網路安全公司知道創宇404安全實驗室(下稱「404實驗室」)曾向《財經》記者模擬測試一次攻破攝像頭的過程,利用網路安全漏洞,通過簡單的攻擊指令便可迅速獲取攝像頭的賬戶密碼,進而控制攝像頭、獲得實時影像。
早在2013年底的黑帽安全技術大會上,有人披露一些國外知名廠商生產的監控攝像頭的安全漏洞,聲稱可以像好萊塢電影一樣操控網路監控攝像機,並進行演示。
另外一支黑客團隊告訴《財經》記者,他們曾在2017年3月、7月和11月分別發現國內幾家知名廠商所生產的攝像頭存在嚴重安全漏洞泄露,但信息在披露前被「公關」掉了。
冰山一角
在家中安裝智能攝像頭的目的,大多是為了安防。家住北京市朝陽區的劉米在卧室安裝了一款可360度旋轉的高清智能攝像頭,離家上班時,她會打開監控畫面,觀察自己寵物狗的生活狀況。但安防產品隨著系列黑客活動,卻成為安全漏洞。
通過簡單破解,家庭生活被直播、錄製,甚至可能流入色情產業。404實驗室總監隋剛告訴《財經》記者,監控黑產既通過銷售獲利,也會向博彩、色情等地下產業導流盈利。
如果只在黑產中私下流傳,傷害尚小,但一旦發生隱私泄露並被公開,將對受害者造成不可預估的傷害。2016年9月3日,河北邯鄲市公安局通報稱,2015年7月,河北省館陶縣一對男女在轎車內親熱時被巡邏輔警王某某等發現,王某某擅自使用手機錄像,後該視頻外泄並傳播。一年後,當事女子在館陶縣巡特警大隊門口服農藥、經搶救無效身亡。
除導向偷窺、色情產業鏈外,另一類黑產訴求意在感染攝像頭後發起DDoS攻擊,這種攻擊是指黑客將多個設備聯合起來作為平台,同時向某一對象發動攻擊使其服務停止。
在多位黑客和安全工程師看來,這類現象更為普遍而難以被察覺。2016年10月21日,美國東海岸網路遭遇三名黑客DDoS攻擊,超過半數美國人無法上網,包括Twitter、亞馬遜、Airbnb等知名網站宕機,其惡意代碼感染對象就是智能攝像頭、路由器等設備。
另一種擔憂在於個人信息黑產與攝像頭入侵黑產兩個鏈條的結合。2017年6月,央視曾演示一種攝像頭控制方法,安全工程師精準攻破受測攝像頭後使得畫面靜止,而真實房間內的被拍攝物品已被拿走。家居智能攝像頭畫面被劫持,使得證據無法固定,或受害者被矇騙、監控等,這在「技術上是完全可能的」,隋剛擔憂地說。
智能攝像頭,是最受黑客青睞的物聯網類設備種類之一。極光大數據截至2017年10月的數據顯示,搭配智能攝像頭使用的四款頭部應用,安裝總量超過1500萬。2017年6月18日,國家質檢總局在官網發布智能攝像頭質量安全風險警示,稱產品質量監督司採集38個品牌共40批次的樣品進行抽檢,結果顯示,存在安全漏洞的多達32批次,佔比高達80%。受測品牌涵蓋360、小米、中興、三星、海康威視等排在市場關注度前五位的產品。
作為公安部領導下的國家級網路安全和安全防範第三方機構,公安部第三研究所亦曾對主流視頻監控類產品進行安全檢測。其檢測中心常務副主任鮑逸明告訴《財經》記者,結果與質檢總局檢測結果基本吻合。
國家通用電子元器件及產品質檢中心工程師李樂言此前曾向央視表示,目前正在投入使用的攝像頭存在相當大的信息安全隱患,未來將被生產出來的攝像頭風險將長期存在。
北京、浙江兩起浮出水面的攝像頭入侵黑產案件中,賣家和黑客均因涉嫌違反《刑法》第285條被批捕,該條共計三項罪名「非法侵入計算機信息系統罪」「非法獲取計算機信息系統數據、非法控制計算機信息系統數據」「提供侵入、非法控制計算機信息系統的程序、工具罪」,最高刑期七年。
此外,《刑法》第283條規定,非法生產、銷售專用間諜器材或竊聽、竊照專用器材的,據情節嚴重程度處七年以下有期徒刑。
對於公民隱私被侵犯的民事法律救濟渠道,依據《侵權責任法》,受害者可提起隱私權侵權民事訴訟,要求入侵黑客和買家停止侵害、刪除被錄製的視頻圖片等,並要求相應賠償。如果攝像頭軟體運營者和網路服務提供商未及時採取補救措施,亦可能承擔連帶責任或損失擴大的賠償責任。如果產品本身有嚴重缺陷導致此類問題,還可按照《侵權責任法》《產品質量法》《消費者權益保護法》直接追究生產者責任。
不過,一些企業不願承認風險的存在。一家致力於C端攝像頭市場的公司告訴《財經》記者,他們不認為市場上的攝像頭安全問題有多嚴重,輿論熱議是因為與其他智能硬體相比,攝像頭出現安全風險更吸引眼球。他們通過客服反饋渠道顯示,並未發現其攝像頭產品出現嚴重安全事故。
事實可能是,受害者未必知道自己的隱私正被直播和販賣。《財經》記者檢索,尚未發現因隱私被監控泄露而提起侵權訴訟的案例。
被侵權人往往並不知情,即便發現隱私被侵犯後報案動力亦不足,因而監控黑產暴露在執法者視野中的只是冰山一角。
王冀歸案時雖被查獲破解攝像頭ID 1萬餘個,然而警方尚無法通過畫面和地址確定受害人,這成為該案偵辦最大難點之一。而對於DDoS攻擊或破解入侵平台等犯罪來說,由於成本高昂、耗時長,警方更難追溯到上游黑客。
一家旗下平台有大量智能攝像頭賬號流入黑產的廠家市場人士告訴《財經》記者,已發布通知願意配合受害者維權,但截至目前未接到任何用戶維權求助。
當下,仍有大量攝像頭賬號和密碼在網路上販賣。受「水滴直播」事件影響後,林曉等賣家對《財經》記者稱並不擔心警方關注,「只抓酒店偷裝攝像頭的和做軟體的,肯定不抓我們這些賣的。」
不過,進入2017年12月後,隨著網路安全公司360因對公共場合提供攝像頭直播功能引發隱私失控焦慮,攝像頭黑產問題也進入執法者視野。多個QQ群都聞風而動,含有「攝像頭」、「影視」等相關字眼的群或解散、或改名。「最近風聲緊,攝像頭被盯上了,過段時間再說。」林曉說。
多位受訪者認為,利益驅動之下網路黑產將長期存在,而刑法打擊則具有滯後性,偵破難度大、用戶維權難的現狀將長期困擾執法者。
這一現狀之下,被稱為安防業紅海的市場如何破局安全短板,是廠商、用戶、監管部門需要共同面臨的難點。
下篇:攻防持久戰
一位世界排名前五的智能攝像頭生產廠商安全總監坦言,儘管其所在企業在安防方面投入巨大,但隨著全球針對物聯網設備的攻擊趨勢愈發嚴峻,他們在智能攝像頭市場受到的黑客攻擊和安防壓力並不小。
2016年國家信息安全漏洞共享平台(CNVD)公開收錄的1117個物聯網設備漏洞影響設備的類型中,網路攝像頭、路由器、手機設備漏洞數量,分別占公開收錄漏洞總數的10.1%、9.4%、4.7%,網路攝像頭漏洞數排名第一。
漏洞從何而來
當前,監控攝像頭安全隱患主要有三類:生產端的粗放生產、雲端和集中管理平台的網路安全防護脆弱、應用端弱口令問題。
公安部第三研究所檢測中心常務副主任鮑逸明告訴《財經》記者,目前被黑客攻擊最多、最易導致黑產泛濫的原因,是弱口令問題。弱口令,指攝像頭出廠設置時各埠所用賬號密碼為默認設置或無密碼。
黑客使用密碼字典批量破解掃描賬號口令十分簡單,國家互聯網應急中心高級工程師高勝表示,這是一種極為低級的入侵方式。
極光大數據顯示,搭配智能攝像頭使用的頭部應用中,螢石雲視頻(海康威視旗下)、雲視通、有看頭(Yoosee)和360智能攝像機安裝量分別為858萬、263萬、229萬和211萬。
《財經》記者在多個黑產群中發現,有不少販賣「雲視通」和「有看頭」兩款應用上的攝像頭賣家,甚至有專門針對這兩款應用的黑產群。賣家發來的賬戶密碼多為「123」等簡單密碼。「有看頭」運營商深圳技威時代科技有限公司(下稱「技威時代」)市場經理楊衛回應《財經》記者稱,2017年6月以來確已發現這一現象並進行自查,流入黑產原因是用戶未更改設備默認密碼「123」,被破解利用。
楊衛表示,技威時代主營業務為APP平台開發和技術支持服務,並不從事攝像機成品生產和銷售,因此遭黑產利用的不是其旗下產品,已對技威體系內的所有廠家客戶下發整改通知,督促各自代理商、渠道商更改密碼,並在後續產品上採取強密碼。但就存量市場而言,弱密碼現象依然存在,尚無法根除。
在高勝看來,諸多安全隱患中弱口令問題最易解決,只需廠家編寫強密碼設置要求,用戶及時更改密碼便可避免。但為何當下許多智能攝像頭產品仍存在這一問題?
一位安防企業安全總監給出的解釋是:「很多廠商眼裡,C端攝像頭的競爭還處在市場初期規模擴張階段,用戶體驗的競爭還處在使用便捷、價格便宜的維度上,尚未把安全當作重要競爭緯度,用戶本身也並不重視。一些廠商便放縱了弱口令等安全隱患的存在。」
許多智能攝像頭廠商為方便用戶或廠商自行管理,有統一網路監控管理平台,這意味著,若管理平台防護能力低,被黑客攻破便可查看所有使用這個管理平台的攝像機畫面。
404實驗室在過去幾年發現過大量監控攝像頭的安全漏洞,幾乎涉及所有攝像頭領域的知名廠商。在2017年一年,至少監測到5家廠商爆出的嚴重安全漏洞,涉及的攝像頭數量從幾萬到幾十萬不等。最為嚴重的情況是,他們監測到一家安防企業的幾十個監控視頻集中管理平台曾被黑客拿下,而每個管理平台都涉及海量攝像頭的監控畫面。
上述安防企業安全總監則對《財經》記者稱,「這很常見」,他給出的解決方案是,使用加密信息傳輸,即便黑客攻破平台也無法讀取數據。
據國家互聯網應急中心觀測到的數據,政府、高校及行業單位正陸續建立一些與交通、環境、能源、校園管理相關的智能監控平台,這些智能監控平台漏洞佔比達到1.9%。這一佔比較低,不過一旦被黑客攻擊,遭到泄露的敏感監控視頻就可能包括國防安全信息、金融交易信息、商業辦公機密等。
攝像頭安全漏洞的第三類來源則是源於生產端的粗放生產。據公安部第三研究所調研,攝像頭端網路安全防護能力最弱,存在大量由於嵌入式系統裁剪不當、各類通信埠開放過多帶來的風險;而且設備安全態勢不可知,造成安全漏洞修補不及時的問題。
404實驗室所監測到的攻擊行為中,有很大一部分便屬於對這類「生產型漏洞」的攻擊,只需要找到一處固件漏洞,便可進行大範圍攻擊,而無關監控攝像頭的品牌,因為他們所使用的往往是同一家作坊。
例如,2016年12月,多款Sony品牌智能攝像頭型號後門賬號漏洞被發現。其部分攝像頭原固件中包含兩個經過硬編碼且永久開啟的賬號,可用來開啟遠程登錄訪問並完全操控。該漏洞被CNVD評級為「高危」,影響Sony公司近80款攝像頭產品。
C端市場混戰
安全隱患現狀不僅是技術問題,也是市場低水平競爭的惡果。
過去十年,中國是監控攝像頭數量增長最快的國家。根據現有安裝規劃,中國攝像頭數量將在未來三年攀升至6.26億個。美國平均每千人配備約96個監控攝像頭,英國為75個,而中國攝像頭密度較高的城市,目前每千人配備的攝像頭數量不到40個。
但事實上,中國監控攝像頭領域存在著兩個格局迥異的市場,一個以B端客戶為主,另一個市場以家庭、小商戶等C端客戶為主。兩個市場成熟階段不同、參與主體不同,其對待安全問題的姿態也差異明顯。
B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。目前形成海康威視、大華股份、宇視科技三家龍頭企業主導的市場格局,三家佔據50%左右的市場份額,在全球視頻監控廠商排名中也位列第一、第二和第七。
隨著市場集中度的提高,近兩年,B端市場上的安防龍頭廠商紛紛組建安全團隊,在安全措施上投入大量成本。原因在於,一是B端市場客戶本身就對於產品安全性的訴求強烈;二是B端市場進入相對成熟的階段,安防龍頭企業做大後,一旦出現安全問題容易演化成黑天鵝事件;三是近年來中國安防龍頭企業紛紛開始海外業務擴張,海外市場對於安全問題的重視倒逼企業提高安全標準。
(B端市場得益於天網工程、智慧交通等工程,以及各行業對攝像頭的需求,歷經十年發展,處於相對成熟階段。圖/視覺中國)
C端市場則是另一幅景象。C端市場隨著智能家居等新概念於2015年前後興起,產品主要用於家庭看護,以高性價比、科技感為特點。這一市場正處於發展初期,數千家企業參與其中混戰,近年來在低價攝像頭市場上的競爭激烈,導致部分品牌在安全成本方面的投入存在壓力,加劇安全隱患。
一名行業人士介紹,C端市場需求巨大,其公司旗下的一款智能攝像頭曾出現上線3秒售罄的情形。各方仍在爭奪新增市場份額,市場規模每年以50%以上速度增長,市場競爭維度主要是功能、性價比和產品顏值。
需求巨大、缺乏行業准入門檻的C端攝像頭市場吸引大量廠商參與其中,按其背景可分為三類勢力:傳統安防廠商的C端產品、互聯網企業的智能硬體設備,以及數量眾多的貼牌山寨廠商。
前瞻產業研究院在一份行業報告中認為,視頻安防低端的設備技術含量較低,進入門檻也較低,從事這類硬體生產的企業因為規模小、技術含量低,在技術升級和價格戰壓力下生存不易。
「B端客戶的安全敏感性非常高,在招標選擇廠商時會對安全標準有著很高的要求。但C端客戶是價格敏感性客戶,更在乎產品的性價比。」上述傳統安防廠商安全總監告訴《財經》記者。
但一家生產智能攝像頭的互聯網企業則表示,其實他們在攝像頭的安全保障方面比傳統廠商更有優勢。
傳統安防廠商的安全能力長板在於生產端的供應鏈管理,互聯網企業的安全能力長板在於網路安全維護能力,問題在於智能攝像頭的安全問題要補短板,而非拼長板,因為漏洞既發生於軟體,也可能潛藏在硬體中。
監控攝像頭市場存在兩種生產模式,一是海康威視、大華股份等巨頭廠商通過自有供應鏈體系生產,二是大多數互聯網企業和中小廠商選擇通過代工廠生產。兩種生產模式有不同的安全短板,自有供應鏈體系往往在生產環節安全係數較高,網路安全防護能力較弱;而互聯網企業的優勢在於網路安全防護能力較強,通過代工廠生產卻缺乏對於生產環節安全問題的把控。
至於山寨貼牌廠商,則在生產端和網路端均存在安全短板。
360 ADLAB(攻防實驗室)曾發布《國內智能家庭攝像頭安全狀況評估報告》,認為許多智能攝像頭存在用戶隱私泄露、未加密數據傳輸等九大風險。國內市場價格競爭激烈,安全成本的增加會直接削弱其價格競爭優勢,一些山寨廠商對安全性甚至完全不加考慮,這些都是國內智能設備在安全方面出現如此亂象的主要原因。
安全攻防戰
「我們一款攝像頭產品,代碼多達上百萬行,沒有任何漏洞,怎麼可能?」一名杭州的安防從業者認為,安全隱患和漏洞不可避免,企業也無奈。
「安全漏洞會永遠不斷出現,與黑產的較量是永久性博弈。」在上述網路安全從業人士看來,攝像頭安全現狀的破局,取決於廠商、用戶、監管部門等各方的重視和投入程度,以及各方能否形成一套協同應急機制。
楊衛告訴《財經》記者,技威時代發現旗下應用被黑產利用後,立刻對所有埠和數據進行排查,並對應用更新迭代,告別已被破解的傳統「ID+密碼」管理設備的模式。此外,已成立安全項目小組,負責網路、賬號、數據等方面的安全防護。
在B端市場上能夠得到的另一個啟發是,2015年2月27日,江蘇省公安廳曾發出特急通知,稱江蘇省各級公安機關使用的海康威視監控設備存在嚴重安全隱患,部分設備已經被境外IP地址控制。海康威視事後澄清,是由於用戶使用弱口令所致。此事曾引發安防行業震動,幾家龍頭廠商在事發後都加強對安全問題的重視和投入,包括組建網路安全團隊、強製取消弱口令使用、建立安全事故緊急應對體系等措施。
對於用戶安全意識的提高,高勝建議,用戶應定期修改攝像頭關聯的應用賬號密碼,盡量不要將攝像頭直接聯網或置於私密區域。不使用時,要遮擋鏡頭或關閉電源,非必要時禁用錄音功能。
這一行業目前還缺乏市場准入和安全標準。
就市場准入而言,按照公安部和質檢總局發布的《安全技術防範產品管理辦法》,對安防產品有三種市場管理方式,即工業許可證制度、強制安全認證制度以及生產登記制度。其中,監控攝像頭管理適用生產登記制度,廠家進行銷售和安裝業務需向當地公安機關申請辦理。企業需持營業執照,法定檢驗機構出具的檢驗報告和鑒定證明等,獲得相應登記證書。違反這一制定於2000年的規範,將受到不超過3萬元的罰款。
但這一標準多針對傳統安防產品,消費類智能攝像機的檢測和認證標準尚未出台,即便企業想要辦理,亦苦於沒有適用的相關標準和機構。一位從事智能攝像頭供應的安防廠家經理告訴《財經》記者,他曾向檢測中心諮詢,得到「沒有這方面業務」的回復。
據了解,行業標準已在路上。鮑逸明表示,公安部第三研究所制定的《智能聯網產品信息安全技術規範》和《網路攝像機產品信息安全技術規範》已於2017年10月份完成向國家認證認可監督管理委員會的備案工作,開始受理相關認證工作,正在進行海康、大華等廠商的智能攝像頭網路安全認證。
此外,《網路攝像機安全技術要求》、《物聯網感知層接入信息網路的安全要求》、《聯網智能終埠令安全技術規範》等多個標準亦正在制定過程中,為機構開展檢測、認證工作提供判定依據,旨在引導企業達到最基本安全要求。
打擊黑產和建立行業標準提高基本安防水平都需時間,面對已經形成亂象的存量市場,還需提高產品安防能力,以及建立安全響應機制。剛生效半年的《網路安全法》要求,網路產品、服務應符合相關國家標準的強制性要求,採取數據加密、分類等措施,並在存在安全缺陷和漏洞等風險時,立即採取補救措施和安全相應機制。
隋剛舉例,對許多未提供遠程更新功能的智能攝像頭來說,發現安全漏洞的唯一解決方案是關閉處理。但許多中小廠家既無能力更新產品,也無動力召回產品或提示用戶關閉,只能「放任漏洞存在」。因此他建議,廠商應為智能攝像頭提供遠程更新功能,以便發現安全隱患及時消除。
隨著物聯網設備的普及,智能攝像頭所面臨的黑產和黑客攻擊風險不斷增強,安全攻防戰也將長久持續。
可以預見,對中小廠家來說,達到市場准入門檻、完成安全認證並建立安全響應機制,將意味著沉重的負擔。上述杭州安防從業者告訴《財經》記者,不久前他們購置一套安全標準檢測工具,耗資上百萬美元,對於許多小廠商和創業公司而言,安全投入成本難以承受。
不過,隨著企業加大投入,形勢可能得到好轉。有兩支黑客團隊向《財經》記者表示,近兩年來安全問題呈好轉的趨勢,這受益於中國安防龍頭企業的市場擴大和海外業務增加,倒逼企業提高安全水準。隋剛也表示,有幾家大廠商已經在組建自己的安全團隊。
但隨著5G和IPv6的推行,雲端控制的需求會跟隱私意識衝突,監控攝像頭安全前景仍會充滿不確定性。
TAG:騰訊科技 |