密碼123?小心被直播 危險的家庭攝像頭
原本用於看護和防盜的攝像頭,拍攝內容竟然被網絡黑客破解,並放在網絡上公開叫賣。
近日,利用黑客程序破解攝像頭IP地址並公開叫賣的事件在網絡上引發大量網友討論,如何保護好個人、家庭隱私成為不少網民擔憂的問題。成都商報記者發現,在四川也有大量家庭的攝像頭被不法分子破解。是誰在售賣侵犯隱私的破解程序?這些程序如何破解攝像頭?成都商報記者展開調查。
資料圖:攝像頭。張亨偉 攝
記者暗訪
“真是的,幹嘛把攝像頭對準自己牀啊!”、“這麼變態!可怕!”……在浙江警方破獲一起傳播破解家庭攝像頭的案件後,網民紛紛表達了自己的擔憂。雖然案件被曝光,犯罪分子也被抓獲,但他們的“同行”並沒有歇業。
加羣 “全員禁言中”
打開QQ羣搜索,使用“破解、IP、攝像”等關鍵字,記者仍然看到了數十個有暗示性的QQ羣,如“攝像頭軟件精品ip”、“Ip攝像破解專業技術”、“ip攝像懂的來”、“攝/像頭”等。
記者看到,這些QQ羣成員數量少的有幾十名,多的達到四百餘名。9月14日,記者申請加入了“IP攝像破解專業技術”、“攝/像頭”兩個QQ羣,其成員數量均達到400餘名,且不斷有新的成員加入。兩個QQ羣均被設置為“全員禁言中”,僅有羣主能夠發送消息。在“攝/像頭”QQ羣,名為“快捷酒店”的羣主會不定時發送:“需要軟件的加我,不是免費的,不要浪費彼此的時間,誠心要的才加。”
交易 “66元,付款後發”
在“IP攝像破解專業技術”QQ羣,記者先與名為“小暴力”的羣主加為好友,他告訴記者:“(軟件)66元,付款後發。”通過微信支付費用後,“小暴力”向記者發送了一個名為“刺客”的安裝程序,此時殺毒軟件開始發出病毒警告,“小暴力”告訴記者需要關閉殺毒軟件才能安裝。
“刺客”程序安裝成功後,“小暴力”為記者提供了一組來自香港的IP段,將此IP段輸入進“刺客”程序進行搜索,不到5分鐘,50多個家庭的攝像頭被找到,包含了IP地址、端口、攝像頭型號、賬號和密碼等信息。隨着搜索繼續進行了約半個小時後,“刺客”找到了近300個家庭的攝像頭,其中57個被標註為“OK”,其餘為“NO”。
記者看到,只需單擊這些被標註為“OK”的攝像頭,即能得到實時監控畫面,涵蓋了卧室、客廳、廚房等,攝像頭拍攝角度還可以通過“刺客”進行調節。在“小暴力”的指導下,記者通過IP信息網站找到了二十餘組四川地區的IP段,將這些IP段輸入“刺客”程序進行搜索,記者發現有近五十户家庭的攝像頭被破解。而破解的畫面中,被拍攝的人卻渾然不知。
隱私 “福利IP”“卧室”
記者又與“攝/像頭”QQ羣的羣主“快捷酒店”加為好友。在記者支付了費用後,“快捷酒店”將“夜神”程序傳送給記者,並附帶了一份詳細教程,另外還有名為“福利IP”、“卧室”、“剛測的新IP”的文檔若干,內有大量IP地址和已被破解的賬號密碼,並備註有“有女人洗澡”、“正對牀”、“偷窺需謹慎,亂動剁手手”等文字。將這些IP地址和賬號、密碼輸入“夜神”程序,可以訪問對應的攝像頭監控畫面。
在教會記者使用“刺客”、“夜神”兩款程序後,這兩名羣主終止了與記者的交流,不再回應。記者注意到,9月15日下午,“攝/像頭”QQ羣被解散。
專家解讀
黑客利用“弱密碼”和系統漏洞
記者帶着“刺客”和“夜神”兩款程序,分別發送給360公司信息安全部和四川效率源安全技術股份有限公司,相關信息安全專家為記者做出瞭解讀。
“這兩款程序主要針對某些攝像頭存在通用的弱密碼這一安全缺陷,使用通用密碼在網絡上進行掃描,嘗試登錄並獲取控制權。” 360公司安全專家王陽東為記者介紹。
效率源安全技術股份有限公司信息安全專家黃旭告訴記者,“刺客”是一款針對攝像頭系統漏洞的專業黑客程序。它通過掃描指定IP段和指定端口,查找此IP段內有系統漏洞的攝像頭。如果找到,程序就會通過系統漏洞繞過賬號密碼,獲得系統內存放的賬户文件,得到賬户和密碼,從而可以在程序中打開和查看視頻。由於某些廠家的攝像管理系統存在漏洞,開發程序時留下了安全隱患,導致黑客可以竊取其賬號密碼,不管多複雜的密碼,只要系統存在漏洞,“刺客”都能獲取,然後利用“夜神”等查看工具就能打開查看視頻。
“夜神”這款程序是一個查看工具,本身並沒有破解賬户密碼的功能。在此軟件裏輸入已經獲得攝像頭的廠家、型號、IP、賬户、密碼等進行登錄,就能查看視頻了。至於賬户、密碼的獲取,除了利用系統漏洞破解程序,比如“刺客”獲取外,還可以通過弱口令等方式取得。所謂的弱口令指的是那些容易被人猜測到或容易被破解工具破解的賬號密碼等,比如未經用户修改的默認賬號密碼如“Password”、“admin”、“user”等,也有 “123”、“11111”、“888888”等簡單設置的賬號密碼,“這些都屬於‘弱密碼’”。
“山寨攝像頭生產廠商從產品設計、開發到管理的安全意識和安全技術水平參差不齊,設備、應用、服務端、客户端都可能存在各種各樣的安全漏洞和安全風險。” 王陽東介紹,設備默認口令、數據明文傳輸、視頻存儲不規範、用户權限校驗不合理、APP未安全加固、代碼邏輯存在缺陷、硬件存在調試接口、可橫向控制等安全缺陷等,都是山寨攝像頭出現的比較典型的問題,“暴露了產品上面的安全意識淡薄”。
防範
勿買山寨攝像頭
設置複雜密碼
王陽東和黃旭均向記者介紹,普通消費者選購智能攝像頭產品時,最基礎且穩妥的方法,是在正規渠道選購大廠商的產品,切勿貪圖便宜,購買“三無”或者山寨產品。同時,在使用產品之前,仔細查看相關説明和廠商聲明,充分了解選購產品和服務的各項功能,注意防範用户信息可能泄漏的風險。在使用時,應及時修改初始密碼,密碼需具備一定複雜度並養成定期修改的習慣。
王陽東認為,從目前來看,受到價格、渠道等多重因素的影響,大量山寨機、貼牌機,以及小廠家的攝像頭產品正加速流入市場,這類產品往往不具備嚴格的安防機制,用户隱私風險極高,用户在選購時需嚴加甄選。“最為保險的辦法還是選擇安全可靠的正規產品,知名大廠推出的網絡攝像頭在產品質量,安全防護水平及產品維護售後方面都有保障,可避免不必要的麻煩。”
9月14日下午,記者來到成都市錦江區書院街道派出所進行報案,相關民警受理了此案,接下來將進一步和記者核實相關證據並調查。
警鐘
侵犯公民個人信息罪
個人行蹤軌跡屬於個人信息的核心內容,一旦非法獲取、出售或者提供50條以上,就觸犯了侵犯公民個人信息罪。而截取家庭攝像頭中的性行為進行展示的,製作傳播到一定數量,就構成了傳播淫穢物品罪;如果傳播者因此牟利,並達到一定金額,將構成傳播淫穢物品牟利罪。
記者 王拓