如果没有人告诉你,你可能永远都不会发现,你究竟是如何在不知不觉中,被迫成为了24小时不间断的“直播up主”。
文 | 宋思宇 编辑 | 星煮
不法分子通过App破解工具对全国数十万只家用摄像头进行非法控制,并出售相关账号和密码以此获得高额利润——近日,浙江温州警方破获的一起非法控制家用摄像头案,令许多人后怕不已。
家用摄像头以安全防范功能为主打,安装家用摄像头后,使用者可通过客户端、网页等随时随地观看家中实时视频,并可通过远程控制台控制摄像头拍摄角度,利用语音功能与家中人员进行实时对话。
其强大的功能成为了许多担心老人、儿童独自在家发生危险、长期出门在外想随时监测家中异动等群体的新选择。
然而,家用摄像头不仅方便了自己察看,也给了许多非法分子“偷窥”自己私人生活的机会。
卧室、卫生间、浴室等私密场所被毫无保留地展示在网络上,部分尺度较大的内容更是被截取成视频片段,以高价卖出。《新京报》曾报道,因摄像头泄密,一位妈妈从怀孕期到哺乳期的家庭生活,竟全程在网络同步直播。
而这些如果没有人告诉你,你可能永远都不会发现,你究竟是如何在不知不觉中,被迫成为了24小时不间断的“直播up主”。
侵入家庭摄像头,并不像你想象得那么难
直接访问视频设备是攻击者最常用的攻击方式,其通过破译相关无线网密码、设备管理账号的用户名和密码等得以实现,使用者在使用的过程中对于用户名和密码设置的疏忽,更是使得这种攻击方式“轻而易举”。
一般来说,攻击者想要控制一个视频设备,可通过本地网络访问及远程网络攻击两种方式。
通过本地网络访问摄像头,即入侵摄像头所连接的无线网络。在本地网络中,摄像头并不总是被加密保护的。攻击者只需在摄像头所连接的无线网络范围内,运行特定程序,破译相应无线路由器的密码, 即可对摄像头甚至其他连网家用智能设备做控制。
建立欺骗性网络也是通过本地网络入侵摄像头的一种方式。攻击者通过建立信号更强并与本地网络具有相同服务器标识的网络,来引诱摄像头设备做连接。当摄像头与欺骗性网络相连后,攻击者就可以对相关视频设备做随意访问。
由于大部分设备在连接曾连接过的无线网络时,并不会对使用者进行二次提醒,因此,一旦设备对欺骗性网络连接成功,当设备再次进入欺骗性网络的信号范围内时,设备将自动进行连接,使用者却很少发觉。
对于家庭摄像头来说,远程网络攻击式入侵更为常见。当摄像头通过互联网传输视频源时,攻击者将对其视频信号发起密码攻击,设置为弱密码或默认密码的设备,往往成为了攻击的牺牲品。
市场上所出售的家庭摄像头通常已由厂家设置统一的默认密码,每类品牌的密码大多统一,且在网络中可轻易查询。许多人抱着“没有拍私密镜头,密码不用更换”的心态,在购买摄像头后,并未对账户名和密码进行更改。攻击者在破解一类品牌密码后,往往等于掌握了上万台保持初始设置状态的摄像头。
一些摄像头使用者哪怕是对初始设置进行了更改,也对密码的设置极为草率,选用“123456”等极为常见的密码字符,这一类的“弱密码”设备,也是攻击者的重点攻击对象。
弱密码,即容易破译的密码,其通常为具有简易规律的字母或数字,如“000000”、“abcdef”等,因其简单易记性,被大量人频繁使用。
攻击者利用破解软件,对人们设置频率较高的弱密码,进行大面积地扫描式尝试,即可获取可破解的设备的IP地址、用户名、登录密码等信息,通过特定的播放软件,开始“偷窥”了。
如何使用家庭摄像头更安全
1.对所选品牌厂家进行充分调查
在购买家庭摄像头前,购买者可以对所选厂家的满意度、安全性进行查询和调查,正规厂家在产品安全设计、和隐私保护政策上,往往考虑得更加完善。
在安装过程中,应对使用条款进行仔细阅读。某品牌摄像头曾在条款中以小字的形式标注“所有人都可以在广场看到您的直播”,致使部分用户忽略该条款,选择打开“完全开放”功能,视频画面在网络大量泄漏。
同时,也要注意通过正规渠道进行购买,购买一个“三无”的家庭摄像头,约等于邀请攻击者在家中无人时,随时进入自己的家门。
2.设置安全系数较高的密码
修改密码,是防范摄像头被远程攻击的唯一可靠方式,在使用摄像头前,使用者不仅要对初始的用户名和密码进行修改,也应注意修改后的密码的安全系数,避免修改后的密码过于简单,出现频率过高。
美国密西西比州曾发生一起摄像头安全性事件,攻击者入侵了家庭摄像头,并通过摄像头对家中8岁的女孩进行言语操控,鼓励其进行种族歧视,并在家中实施暴力行为。
事后,其母亲承认并未对家中摄像头设置双重因素的身份认证,这无疑是降低了密码破译难度,大幅度提升了攻击者的入侵机会。使用者可根据密码设置要求对数字、英文等密码字符进行灵活运用,姓名、生日等易于获取的个人隐私信息,也不是密码设置的最佳选择。
同时,也应避免不同服务的账号的用户名和密码完全相同,Ring摄像头曾陷入一起隐私泄露的案件中,后经调查,攻击者并未对摄像头的安全系统进行破坏,而是利用在其他服务软件上获取的用户名和密码信息,登录了这台私人摄像头。
3.避免直接拍摄隐私区域
想要隐私不被泄露的最根本的解决方式就是避免拍摄。在安装摄像头时,使用者可避免对浴室、卫生间、卧室等也许会出现私密行为的场景的直接拍摄。
也可在进行更换衣物等私密行为时,对摄像头进行遮挡,或直接切断摄像头电源。如果你安装摄像头只是为了方便家中无人时实时监控,那么可完全在家中有人时关闭摄像头,家中无人时再开启就好。
4.多多留意细节性问题
摄像头被入侵往往不易被发现,一些攻击者更是选择针对婴儿、幼儿等行为观察能力较差的群体的摄像头进行入侵。
在家庭摄像头使用的过程中,应对细节性问题多多留意。
定期查看摄像头的拍摄角度及拍摄画面,如果发现摄像头的拍摄角度发生偏转,那么很可能你家的摄像头已经被人远程操控,需要尽快对密码进行修改。绑定账户的手机收到异常的短信验证码后,也要多多留意,防范是不是有人在偷偷修改你的密码。摄像头的内存有限,攻击者在入侵摄像头时,往往会对摄像头的运行造成超额负担,导致设备性能低下等问题。有必要注意一下的是,造成性能低下的问题有很多,在发现摄像头工作出现问题后,应首先对设备的硬件、信号接触等方面做排查。
智能化产品的不断运用让隐私泄露的问题越来越突出。家用摄像头的视频搜集、云端存储等功能,不仅方便了自己对于家中状态的查看,也将自己的私人化生活成为了不法分子的猎取目标。
我们在享受智能化生活带给自己的便利的同时,更要学会对自己的生活负责。
认真设置每一个设备用户名和密码、阅读每一项安全协议、不随意泄露自己的个人隐私信息、不将自己的隐私行为暴露在开放的环境下,对于智能化产品安全使用、正确使用。
尽自己所能,维护好自己的权利和利益,在安全的环境下,享受智能化发展带给自己的精致生活。
参考链接:
1.https:///how-to/how-to-prevent-your-security-camera-from-being-hacked/
2.https:///news/set-up-two-factor-authentication-to-keep-your-ring-camera-from-getting-hacked/
3.https:///story/tech/2019/12/13/how-secure-your-home-surveillance-cameras-getting-hacked/4407914002/
来源|南都周刊
END