密碼123?小心被直播 危險的家庭攝像頭
原本用於看護和防盜的攝像頭,拍攝內容竟然被網路駭客破解,並放在網路上公開叫賣。
近日,利用駭客程式破解攝像頭IP地址並公開叫賣的事件在網路上引發大量網友討論,如何保護好個人、家庭隱私成為不少網民擔憂的問題。成都商報記者發現,在四川也有大量家庭的攝像頭被不法分子破解。是誰在售賣侵犯隱私的破解程式?這些程式如何破解攝像頭?成都商報記者展開調查。
資料圖:攝像頭。張亨偉 攝
記者暗訪
“真是的,幹嘛把攝像頭對準自己床啊!”、“這麼變態!可怕!”……在浙江警方破獲一起傳播破解家庭攝像頭的案件後,網民紛紛表達了自己的擔憂。雖然案件被曝光,犯罪分子也被抓獲,但他們的“同行”並沒有歇業。
加群 “全員禁言中”
開啟QQ群搜尋,使用“破解、IP、攝像”等關鍵字,記者仍然看到了數十個有暗示性的QQ群,如“攝像頭軟體精品ip”、“Ip攝像破解專業技術”、“ip攝像懂的來”、“攝/像頭”等。
記者看到,這些QQ群成員數量少的有幾十名,多的達到四百餘名。9月14日,記者申請加入了“IP攝像破解專業技術”、“攝/像頭”兩個QQ群,其成員數量均達到400餘名,且不斷有新的成員加入。兩個QQ群均被設定為“全員禁言中”,僅有群主能夠傳送訊息。在“攝/像頭”QQ群,名為“快捷酒店”的群主會不定時傳送:“需要軟體的加我,不是免費的,不要浪費彼此的時間,誠心要的才加。”
交易 “66元,付款後發”
在“IP攝像破解專業技術”QQ群,記者先與名為“小暴力”的群主加為好友,他告訴記者:“(軟體)66元,付款後發。”透過微信支付費用後,“小暴力”向記者傳送了一個名為“刺客”的安裝程式,此時防毒軟體開始發出病毒警告,“小暴力”告訴記者需要關閉防毒軟體才能安裝。
“刺客”程式安裝成功後,“小暴力”為記者提供了一組來自香港的IP段,將此IP段輸入進“刺客”程式進行搜尋,不到5分鐘,50多個家庭的攝像頭被找到,包含了IP地址、埠、攝像頭型號、賬號和密碼等資訊。隨著搜尋繼續進行了約半個小時後,“刺客”找到了近300個家庭的攝像頭,其中57個被標註為“OK”,其餘為“NO”。
記者看到,只需單擊這些被標註為“OK”的攝像頭,即能得到實時監控畫面,涵蓋了臥室、客廳、廚房等,攝像頭拍攝角度還可以透過“刺客”進行調節。在“小暴力”的指導下,記者透過IP資訊網站找到了二十餘組四川地區的IP段,將這些IP段輸入“刺客”程式進行搜尋,記者發現有近五十戶家庭的攝像頭被破解。而破解的畫面中,被拍攝的人卻渾然不知。
隱私 “福利IP”“臥室”
記者又與“攝/像頭”QQ群的群主“快捷酒店”加為好友。在記者支付了費用後,“快捷酒店”將“夜神”程式傳送給記者,並附帶了一份詳細教程,另外還有名為“福利IP”、“臥室”、“剛測的新IP”的文件若干,內有大量IP地址和已被破解的賬號密碼,並備註有“有女人洗澡”、“正對床”、“偷窺需謹慎,亂動剁手手”等文字。將這些IP地址和賬號、密碼輸入“夜神”程式,可以訪問對應的攝像頭監控畫面。
在教會記者使用“刺客”、“夜神”兩款程式後,這兩名群主終止了與記者的交流,不再回應。記者注意到,9月15日下午,“攝/像頭”QQ群被解散。
專家解讀
駭客利用“弱密碼”和系統漏洞
記者帶著“刺客”和“夜神”兩款程式,分別傳送給360公司資訊保安部和四川效率源安全技術股份有限公司,相關資訊保安專家為記者做出瞭解讀。
“這兩款程式主要針對某些攝像頭存在通用的弱密碼這一安全缺陷,使用通用密碼在網路上進行掃描,嘗試登入並獲取控制權。” 360公司安全專家王陽東為記者介紹。
效率源安全技術股份有限公司資訊保安專家黃旭告訴記者,“刺客”是一款針對攝像頭系統漏洞的專業駭客程式。它透過掃描指定IP段和指定埠,查詢此IP段內有系統漏洞的攝像頭。如果找到,程式就會透過系統漏洞繞過賬號密碼,獲得系統記憶體放的賬戶檔案,得到賬戶和密碼,從而可以在程式中開啟和查看影片。由於某些廠家的攝像管理系統存在漏洞,開發程式時留下了安全隱患,導致駭客可以竊取其賬號密碼,不管多複雜的密碼,只要系統存在漏洞,“刺客”都能獲取,然後利用“夜神”等檢視工具就能開啟檢視影片。
“夜神”這款程式是一個檢視工具,本身並沒有破解賬戶密碼的功能。在此軟體裡輸入已經獲得攝像頭的廠家、型號、IP、賬戶、密碼等進行登入,就能檢視影片了。至於賬戶、密碼的獲取,除了利用系統漏洞破解程式,比如“刺客”獲取外,還可以透過弱口令等方式取得。所謂的弱口令指的是那些容易被人猜測到或容易被破解工具破解的賬號密碼等,比如未經使用者修改的預設賬號密碼如“Password”、“admin”、“user”等,也有 “123”、“11111”、“888888”等簡單設定的賬號密碼,“這些都屬於‘弱密碼’”。
“山寨攝像頭生產廠商從產品設計、開發到管理的安全意識和安全技術水平參差不齊,裝置、應用、服務端、客戶端都可能存在各種各樣的安全漏洞和安全風險。” 王陽東介紹,裝置預設口令、資料明文傳輸、影片儲存不規範、使用者許可權校驗不合理、APP未安全加固、程式碼邏輯存在缺陷、硬體存在除錯介面、可橫向控制等安全缺陷等,都是山寨攝像頭出現的比較典型的問題,“暴露了產品上面的安全意識淡薄”。
防範
勿買山寨攝像頭
設定複雜密碼
王陽東和黃旭均向記者介紹,普通消費者選購智慧攝像頭產品時,最基礎且穩妥的方法,是在正規渠道選購大廠商的產品,切勿貪圖便宜,購買“三無”或者山寨產品。同時,在使用產品之前,仔細檢視相關說明和廠商宣告,充分了解選購產品和服務的各項功能,注意防範使用者資訊可能洩漏的風險。在使用時,應及時修改初始密碼,密碼需具備一定複雜度並養成定期修改的習慣。
王陽東認為,從目前來看,受到價格、渠道等多重因素的影響,大量山寨機、貼牌機,以及小廠家的攝像頭產品正加速流入市場,這類產品往往不具備嚴格的安防機制,使用者隱私風險極高,使用者在選購時需嚴加甄選。“最為保險的辦法還是選擇安全可靠的正規產品,知名大廠推出的網路攝像頭在產品質量,安全防護水平及產品維護售後方面都有保障,可避免不必要的麻煩。”
9月14日下午,記者來到成都市錦江區書院街道派出所進行報案,相關民警受理了此案,接下來將進一步和記者核實相關證據並調查。
警鐘
侵犯公民個人資訊罪
個人行蹤軌跡屬於個人資訊的核心內容,一旦非法獲取、出售或者提供50條以上,就觸犯了侵犯公民個人資訊罪。而擷取家庭攝像頭中的性行為進行展示的,製作傳播到一定數量,就構成了傳播淫穢物品罪;如果傳播者因此牟利,並達到一定金額,將構成傳播淫穢物品牟利罪。
記者 王拓