隨著生活越來越 " 智能化 ",利用攝像頭進行視頻聊天、監控寵物、安全防護的應用越來越多,這些攝像頭具備的聯網和雲端存儲,甚至公網開放服務等功能,在提供便利時,也讓不法分子有可乘之機。在 3 月 25 日騰訊在線舉行的 " 守護者計劃媒體沙龍 " 上,騰訊守護者計劃安全團隊稱,網絡攝像頭應用已形成一條 " 黑產鏈 ",有不法分子獲取網絡攝像頭標識 ID 在國外通訊工具上販賣,不到 200 元就可以買到 500 個 ID 號。
2020 年 2 月 12 日,國家互聯網應急中心(簡稱 CNCERT)發佈預警,境外黑客組織曾聲稱於 2 月中旬對我國發起網絡攻擊,視頻監控系統成為攻擊重點。國家互聯網應急中心下屬的關鍵基礎設施安全應急響應中心分析稱,本次網絡攻擊活動主要利用了遠程命令執行漏洞、惡意代碼植入、登錄繞過漏洞三類漏洞。2 月 13 日至 2 月 29 日期間,攻擊高峰達到 600 萬次 / 天。物聯網設備已成為攻擊的重要目標,只要物聯網設備暴露到互聯網上,隨時有被攻擊的可能,並且可能被不同組織反覆攻擊。
騰訊守護者計劃安全專家 KK(化名)介紹說,攝像頭包括一體機、針孔、魚眼、槍式、半球形和手機攝像頭,其中針孔攝像頭一般出現在偷拍場合。攝像頭對公共互聯網開放的安全問題已是全球共同的挑戰。
北京華順信安科技有限公司與白帽匯安全研究院在 2018 年底發佈《2018 年攝像頭安全報告》顯示,我國對公共互聯網開放訪問權限的攝像頭設備佔全球的 17%。FOFA(網絡空間安全搜索引擎)數據顯示,截至 2018 年 11 月底,全球共有 228 個國家 8063 個城市中的 2635 萬攝像頭設備對公共互聯網開放訪問權限。中國僅次於越南,以 165 萬個的數量排第二,約佔 17%。中國各省中,廣東共有 16.3 萬臺設備,約佔 13%。KK 指出,一旦攝像頭被入侵,就會造成個人隱私大規模洩露、敏感場所存在失洩密風險,給公共安全帶來失控隱患。
用戶隱私 廉價出售
值得注意的是,攝像頭應用已形成一條集黑客破解、買賣、偷窺於一體的視頻攝像頭網絡黑產鏈。KK 指,黑產鏈上中下游可大致分為攝像頭破解工具開發、網絡攝像頭掃描發現、攝像頭蒐集售賣三個環節。在攻擊流程中,通過弱口令密碼可以破解,一旦被攻破後,黑產人員通過畫面的隱私程度進行篩選,特別敏感的畫面打包出售獲利。比如就有不法分子獲取網絡攝像頭標識 ID 在國外的通訊工具上販賣,198 元就可以買到 500 個攝像頭 ID 號。
騰訊守護者計劃安全專家張濤稱,平臺工具隱匿化是一個全球性的問題,導致追蹤和打擊產生一定難度,但這並不代表它們能夠永遠藏下去,隨著黑產鏈變得長,總可以從一些環節突破進行打擊。
買來就用 易被攻破
談及對個人用戶的影響,KK 強調,大多數用戶對攝像頭安全沒有充分認識,往往買來就用,有的通過弱口令、默認密碼直接使用,往往被黑產團伙拿來直接破解。
騰訊守護者計劃團隊建議,要更嚴厲打擊治理網絡黑產攝像頭,首先是依法嚴厲打擊攝像頭黑產團伙,其次要對重要敏感攝像頭進行安全防護的完善,比如對政府機關涉密場所的網絡攝像頭建議與互聯網隔離,定期升級呼叫系統;此外也要宣傳引導用戶使用安全,加強宣傳教育震懾違法犯罪。
據介紹," 守護者計劃 " 是騰訊創建的公司級反電信網絡詐騙及黑色產業鏈的企業社會責任平臺。早在 2016 年," 守護者計劃 " 就成立了全國首個反詐騙實驗室。
閱讀更多 瀟湘晨報網 的文章
