ADT 公司专门为企业和个人提供安全监控服务,比如安装摄像头和安全锁,设计家庭安全方案等。2020 年 4 月,公司发布声明自曝称自家安全摄像头被黑,始作俑者正是前文提到的雇员。但受害用户反馈称,安全漏洞最早是一位客户无意中发现的:无需第三方授权,就能把自己添加进监控系统。这么明显的技术漏洞,ADT作为专业安全监控公司竟然毫无察觉,且事发之后并未第一时间修复漏洞,却选择了息事宁人。这更是让用户怒火中烧,将公司及其前雇员一举告上法庭。直到最近,案件才有进一步进展:Telesforo 认罪后,可能面临 5 年的监禁。
回顾这些年,智能摄像头安全隐患导致用户日常生活无意中被直播、隐私视频被贩卖甚至遭遇勒索的事件已经屡见不鲜。不论是国内国外,主流摄像头都曾中招。而围绕智能摄像头的黑灰色产业链,也在蔓延。
根据媒体报道:
2017年6月18日,有人在 QQ 群中兜售远程控制家庭摄像头的破解软件,并被大量人员非法购买后用于偷窥;
2019 年 6 月,浙江温州市永嘉县公安局民警在网上巡查中发现,辖区男子周某在多个社交软件平台售卖家用摄像头破解工具和被控制的家用摄像头账号密码及大量私密视频;70 元就能购买 300 个账号
……
尽管上述案例的相关责任人均已受到了法律的制裁,但直到现在,类似的问题依然存在。就在前两天,央视还对此进行了报道:
在评论区,很多用户表达了自己的担忧,也有人分享了安全贴士。
点击图片可放大
去年 10 月份,极棒的舞台上有一个挑战项目,叫“2020年了,究竟还有没有安全的智能摄像头”。选手利用未知漏洞远程攻破了智能摄像头,直观展示了智能摄像头的安全问题,也给厂商敲响了警钟。之所以给项目起这个花名,是因为 2015 年至今,极棒的舞台上以及新闻报道中已经多次揭示了智能摄像头存在的不同安全隐患,提醒厂商修复。但一条条新闻告诉我们,这个问题的答案,可能是“没有”。
智能摄像头本身的特点决定了它在设备本身(终端)、云平台、移动应用(APP)及数据传输等多个层面都需要精心设计。而常见的弱口令、未授权访问、端口暴露、SQL攻击等都会导致智能摄像头处于危险之中。利用这些漏洞,不仅能实时观看到视频,还能让有云台的摄像头转动方向,实现“360度无死角”窥视。2020年7月,伦敦玛丽皇后大学(QMUL)和中国科学院的研究人员还发现,不调用摄像头,根据摄像头上传数据时产生的流量大小,就有可能了解到用户的日常生活状态以及不在家的时间。这些都意味着,厂商要不断改进技术,提升产品安全性。
对于监管部门来说,除了《民法典》、《个人信息保护法》、《网络安全法》等在用户隐私被侵犯之后可用于维权的法律法规之外,尽快建立物联网、智能家居相关的信息安全标准及规范,才有可能在泄露之前保护好用户隐私。
作为普通用户,虽然被动,但也不是无计可施:
-
购买正规厂家的产品;
-
非必要不在卧室等隐私性较高的地点安装摄像头;
-
及时更改默认设置;
-
及时更新、升级程序;
-
设置复杂度高且与其他平台不同的独立密码,避免因为其他密码泄露而被牵连……
参考链接:
https://www.courtlistener.com/recap/gov.uscourts.txnd.339830/gov.uscourts.txnd.339830.6.0.pdf
https://securityboulevard.com/2021/01/adt-installer-hacks-home-cams-for-sexual-thrills/
https://staceyoniot.com/these-are-the-security-features-you-should-look-for-when-buying-smart-home-devices/
本期话题
1. 如何安全地使用智能摄像头或其他智能家居,保护自己的隐私?
2. 你通常在什么时候、什么渠道看到 GeekPwn 的推文?
欢迎留言跟 PWN 君聊聊🤖️🤖️🤖️
一键关注,离安全更近一点
点分享
点收藏
点点赞
点在看
本文始发于微信公众号(GeekPwn):五年9600次偷窥 | 2021年,智能摄像头仍然在“出卖”你的隐私
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论