店面防盗监控、家庭摄像头、仓库安保设备……随着物联网进程的加快,智能摄像头正走进千家万户,几乎成为“标配”。但如果防控措施跟不上,则很容易“引狼入室”。
“老台打包166元200多个ID,新台40一个。”
“150元30个酒店35个家庭ID,200元40个酒店45个家庭ID。”
3月31日至4月10日,新京报贝壳财经记者调查发现,大量已被不法分子“破解”的智能摄像头ID地址正作为“直播台”在黑灰产平台上明码标价公开销售,而可以观看这些摄像头实时画面的App以及破解摄像头的工具甚至已经更新换代了很多次。
4月7日,新京报贝壳财经记者发现相关的摄像头ID账户名称以及密码被以40元到200元不等的价格在黑灰产人平台销售,记者从黑灰产人士处购买到了相关App,发现遭到泄露的摄像头场景包括公开的试衣间、仓库、店面以及私人家庭。
对此,某安全公司相关专家对记者表示,该类远程视频监控App被黑产团队恶意利用。黑产团队通过对其他系统“脱库”或暴力破解存在弱口令漏洞的摄像头设备,获取摄像头的账号密码,然后拿着这些账号和密码去平台售卖。购买者使用购买的账号密码通过App登录即可实时观看监控画面,偷窥他人隐私。根据其出具的检测报告,上述App本身也存在违规获取隐私的行为。
破解摄像头黑灰产从业者发布的广告。
摄像头场景成“实时直播” 400元可购买“破解摄像头”的软件
“你要新台还是老台?”4月7日,当贝壳财经记者通过黑灰产平台联系到破解摄像头ID卖家“空情”时,对方这样表示。
那么,什么是所谓的”新台“、”老台“?偷拍爱好者们习惯以“台”来称呼摄像头的ID。经常能看到“有新台吗?”“有没有好的ID给我扫台”的发言。“空情”向记者介绍,老台指在网上流传多年的老摄像头ID,新台则是指新发现的直播摄像头。“老台打包166元200多个ID,新台40一个。”
黑灰产给记者发送的售卖破解摄像头的ID广告。
新京报贝壳财经记者浏览“空情”发来的不同摄像头所在的场景时发现,这些供出售的摄像头涵盖了女服装店试衣间、母婴月子会所、服装店仓库、私人家庭等。“如果按类型购买,150元30个酒店35个家庭ID,200元40个酒店45个家庭ID。”
“空情”告诉记者,还可以花费400元直接购买“可扫描并定位破解摄像头”的软件。“购买这个软件后可以自己寻找摄像头并破解,然后就能观看别人的摄像头了。”
为了一探究竟,4月7日,记者通过不同的渠道分别向2名卖家购买了摄像头ID,购买后,对方向记者发送了名称不同的App,并表示下载App后,可以通过在里面输入其提供的账户和密码的形式连接“已被破解”的摄像头。记者输入卖家提供的ID号码,并输入极为简单的密码后发现,确实能看到他人摄像头的内容,且监控画面是实时进行的。
“大学生XX直播给你看,多刺激。”在一个以偷拍交流为主题的论坛中,当谈及购买偷拍ID与国外成人电影的区别时,有网友表示。“买ID后,打开看不一定一直都有内容的,但是刺激就刺激在这是实时直播的。”“空情”向记者如此推荐。
破解摄像头黑灰产从业者的聊天截图。
试衣间和私人家庭监控最紧俏 “机主”发展代理层层加价售卖
新京报记者发现,在装有摄像头的ID中,试衣间和私人家庭监控最为紧俏,而公共区域的摄像头则几乎无人问津。
需要注意的是,与因安防监控需求安装摄像头的上述地方相比,酒店房间、厕所等私密性场合是没有摄像头的,但为了满足少部分人的需求,有黑灰产人士铤而走险,在这些地方安装针孔摄像头,此后再把这些摄像头的ID作为资源公开出售。
黑灰产论坛中的偷拍“频道”。
新京报贝壳财经记者调查发现,安装针孔摄像头或者能够破解他人摄像头ID和密码的人被称为“机主”。由于掌握账号和密码,机主会通过发展代理售卖摄像头的观看权。
在中国裁判文书网近日公布的另一起制作、贩卖、传播淫秽物品牟利案中,安装者在QQ群中发送视频截图及文字介绍宣传“推广”,再以每个邀请码150元到200元的价格销售给下线代理,代理则在加价后继续发展下线或直接售卖给网友进行观看。经过层层加价后,一个邀请码最高能卖至600元以上,每个摄像头最多可生成100个邀请码,供百人同时在线观看,而针孔摄像头的价格则仅有150元左右。
“机主新上台,一个台不保证能有多久,但24小时有人,保证精彩不断,需要购买联系我。”在黑灰产平台中,有代理发布了这样的“广告”。
更值得注意的是,除了真正的破解摄像头黑灰产外,还有不法分子以此为噱头进行诈骗。4月7日,新京报贝壳财经记者通过QQ搜索向一名自称能出售“摄像头ID及破解软件”的网友购买了软件后,对方并未发送相关ID,记者在贴吧、论坛等地发现,此类情况并不少见。
摄像头漏洞遭人利用 云视通等多家品牌“中招”
某安全公司相关专家对记者表示,该类远程视频监控App被黑产团队恶意利用。黑产团队通过对其他系统“脱库”或暴力破解存在弱口令漏洞的摄像头设备,获取摄像头的账号密码,然后拿着这些账号和密码去平台售卖。
新京报贝壳财经记者发现,目前黑市中较为流行的摄像头ID来自一家名为“云视通”的智能摄像头。4月12日,记者通过对比发现,此前向黑灰产卖家购买的2款可观看摄像头内容的App在界面上与云视通App类似。
4月10日,贝壳财经记者在一个偷拍黑灰产论坛中发现,有卖家上传了其使用“云视通扫台工具”破解云视通监控系统的画面,根据画面,其扫描出了182个在线ID。但卖家给记者提供的App并非云视通正版App,对此,有熟悉黑灰产的人士表示,这些App应该是云视通的“山寨”产物。
此外,根据安全公司出具的分析报告,卖家发给记者的2款监控App内,其中一款应用集成的第三方SDK在弹出隐私政策用户授权之前,就获取并上传用户App安装列表、位置、设备、wifi信息等敏感信息;另一款应用获取用户App安装列表、设备信息、wifi信息等敏感信息上传,无用户授权提示。
新京报贝壳财经记者注意到,浙江景宁警方曾破获一起售卖家庭摄像头破解软件案,警方查实已被破解的家庭摄像头账号近万个,涉及全国多地。
在中国裁判文书网公布的一份刑事判决书中,被告人张某在网上出售能够通过扫描摄像头非法侵入他人监控系统,预览摄像头画面的软件程序。并以办理年卡、月卡等形式,以100元、200元、300元、400元、500元不等的价格,在网上出售该软件程序。经鉴定,该软件程序具有扫描摄像头并利用漏洞获取IP摄像头用户名和密码并登录预览摄像头画面的功能;具有对“安格华”、“云视通”、“有看头”三款摄像头进行弱口令猜接,并调用对应程序进行画面预览的功能。判决显示,被告人张某犯提供侵入、非法控制计算机信息程序、工具罪。
贝壳财经记者观察发现,除了云视通外,在黑灰产平台中出现较多的摄像头品牌还有乐橙与萤石云。如有黑灰产人士发布广告称“最新萤石云台上新,超清学生台,欢迎代理过来拿货,目前机主仅对接我一人,想拿台找我。”还有黑灰产人士公布与“同行”的聊天记录表示多家平台中“乐橙台超清”。此外,360摄像头在之前的新闻中也曾被曝其水印出现在了外网流传的偷拍视频中。
破解软件成敛财工具 责任何在?
新京报贝壳财经记者浏览市面已有的摄像头发现,一台摄像头可以分享给多人观看的功能较为常见,但其目的主要是为了分享给家人或员工,以保证安全性,但当这一功能被不法分子利用,就会让监控摄像头成为“隐私直播平台”。
为什么摄像头这么容易被破解?摄像头轻易被破解,厂商有没有责任?对此, 杭州安恒信息技术公司安全研究院院长吴卓群曾为一些智能摄像头企业做过安全监测。他发现不少厂商的产品在软件设置上存在“不强制用户修改初始密码,甚至不设密码”的问题。“尽管现在生产者信息安全意识有所提高,但值得担忧的是此前生产的存在安全漏洞的摄像头已流入千家万户。”吴卓群说。
也有专业人士告诉记者,利用被泄露的用户名和密码登录App查看别人的摄像头,责任本身不在企业,“用户需要提高警惕,使用强密码、定期更新设备以及启用双因素身份验证。”而对于不法分子以不良目的购买摄像头主动安装偷窥的行为,摄像头企业本身也无法辨别。
但对于如何防止摄像头被破解,不少安全专家均给出了建议。如在2020年举办的第八届互联网安全大会上,360集团硬件专业委员会执行主席孙浩表示,围绕摄像头常见的安全漏洞可以分为三大类:第一类是命令注入漏洞,可以借此执行系统命令或者运行任意程序;第二类是授权问题,可以访问未授权或者通过某个隐藏入口直接访问对应的设备;第三类是服务器存在访问控制缺陷,例如2018年4月HK云服务器发现访问控制缺陷,任意人可以通过该漏洞实现查看摄像、回放录像、添加账户共享等操作。
在孙浩看来,其中影响最大的安全漏洞还是弱密码问题,“弱密码之前在摄像机、路由器上都很常见,摄像机上尤其突出,因为多数用于公共安防的摄像机需要和NVR等设备做集成部署,所以多数摄像机都是使用的默认密码,在互联网上只要搜索一下就能够得到主流设备厂商的默认用户名和密码。如果摄像机暴露在公网,通过弱密码一碰,很容易就能够控制摄像机,压根不需要什么复杂的操作。”
新京报贝壳财经记者发现,在记者购买到的已泄露摄像头中,卖家发给记者的密码确实都是极其简单的“弱密码”。
在新京报记者此前的调查中,云视通客服人员查询记者购买的账号后告知记者,该摄像头从购买后一直未更改,系用默认连接,“客户连上后,没有修改密码”。客服人员解释称,上述账号对应的家用摄像头是老款产品,需要自己修改密码,升级到最新版本后,若不修改密码,每次登录都会强制提醒用户修改。
孙浩表示,安全渗透服务是物联网安全的最后一道防线。每一款新硬件、每一个固件在发版前,都需要按照流程做安全渗透审查。“物联网安全不仅需要与使用场景高度结合,更需要良好的研发规范和安审流程做保障。”