智東西(公眾號:zhidxcom)文| 李水青
導語:魔鬼在窺聽!自家攝像頭驚現別家娃,攝像頭突然出聲嚇壞小蘿莉,國外家用攝像頭為何頻頻暴雷?
“陌生的老人躺在扶手椅上、嬰兒躺在床上睡覺、陽光明媚的客廳。”
近日,壹個荷蘭小夥用自家的小米攝像頭聯接谷歌Nest Hub時,卻看到了別人家的視頻畫面。事後,谷歌立刻在谷歌助手上禁用小米攝像頭集成。
無獨有偶, 美國另壹家智能攝像頭巨頭 亞馬遜也幾乎同壹時間暴雷。
密西西比州,黑客入侵了壹個家庭的亞馬遜Ring攝像頭。對方自稱是聖誕老人,差點嚇壞了家裏的小女孩。沒幾天後,亞馬遜Ring被爆出超4000個賬戶泄露,可讓黑客遠程監控、竊取信息。
而在我國,元旦剛過,浙江警方破獲了壹起 “非法控制十萬攝像頭” 的案件,跨越20省抓獲32名嫌疑人。這些人在QQ群中售賣攝像頭破解工具、被控攝像頭賬號密碼,甚至以10-20元價格售賣裸露、色情的偷拍視頻。
全球智能家居攝像頭市場年年攀升,預計2023將以14%增速達130億美元的規模。而家用攝像頭也擺脫了“電腦外設”、“笨重安防設備”的標簽,成為看娃、吸貓、照顧老人的日常智能家居設備。
但頻繁發生的攝像頭暴雷事件卻成為許多用戶心中的“倒刺”。黑客入侵、隱私直播等事件為什麽會頻頻發生?問題的解法又是什麽?令人費解。
自2019年初起, 谷歌Nest攝像頭 就開始接連爆出類似“坑”。
伊利諾伊州的壹對夫婦稱黑客通過攝像頭跟嬰兒講話,並把Nest恒溫器調到了90華氏度(約為32攝氏度);ABC報道壹個Nest用戶遭到來自攝像頭的口頭虐待和勒索贖金……
亞馬遜這邊 ,12月28日,有美國公民甚至把亞馬遜Ring告上法庭,列舉了八大實例,直指亞馬遜的Ring相機容易受到黑客攻擊。而後,Ring被查出有內部員工濫用職權訪問用戶視頻數據。
谷歌和亞馬遜是北美兩大家用攝像頭巨頭。Nest公司曾因為恒溫器的走紅而被谷歌收歸麾下,Ring於2018年被亞馬遜以839美元收購,它們與路由器出身的Arlo公司壹起占據了北美近80%的家用攝像頭市場份額。
2019年,亞馬遜和谷歌的 智能音箱頻頻暴雷,也為其攝像頭安全問題增添了不安的底色。
2019年4月,亞馬遜被曝在未告知用戶的情況下雇人監聽Alexa錄音,對內容進行轉錄、標註,然後反饋給軟件;兩個月後,谷歌助手超1000個錄音信息遭到泄露,其中包括大量在音箱沒被喚醒時的錄音,涉及臥室對話、父母和孩子之間的對話和大量私人信息電話……
相比於智能音箱隱私泄露的危害,家用攝像頭可謂有過之而無不及。
壹些黑客僅僅為了惡作劇、炫耀自己的“職業素養”而入侵攝像頭,壹些則更加邪惡。據了解,有黑客在名為NulledCast的播客中直播了入侵他人家中的內容,甚至滋生出“15元直播對床視頻”類似的黑產,壹些不法人員還通過攝像頭進行敲詐勒索。
家用攝像頭本是看護孩子老人的助手,卻成了“魔鬼”潛入家裏的“眼睛”。
“用戶密碼” 成為廣為人知的薄弱環節。
壹方面,壹些用戶在安裝攝像頭後直接 使用原始密碼 ;另壹方面,壹些用戶 在不同的平臺和賬戶都采用相同的密碼 ,這些情況都為黑客入侵創造了機會。
▲使用原始密碼的攝像頭機器容易被破解
壹些企業和專家表示,受到黑客侵擾的,往往是在不同的平臺和網站上使用相同名稱和密碼的人。當某站點被入侵後,黑客能使用被盜的名稱和密碼來嘗試闖入其它平臺帳戶。
比如之前的“黑客入侵扮聖誕老人嚇壞小女孩”、“黑客把室溫調到90華氏度”的事件都被認為是這壹原因。
Ring的壹位發言人曾說:“不良行為者從其他公司的數據泄露中收集賬號密碼數據,供其它不良行為者訪問其它服務,這種情況並不少見。”
然而,這並不能解釋所有問題。 僅僅將問題歸因於用戶不改密碼、密碼太簡單,則容易陷入企業和相關部門推卸責任的公關話術。
視頻流的傳輸是壹條長長的鏈條 ,從攝像頭端到雲服務器,從獨立系統到集成系統,從視頻雲平臺到手機、Pad等設備端, 每壹個節點和傳輸通道都可能成為薄弱環節。
本次谷歌Nest Hub-小米攝像頭的畫面誤接入就是壹個實例。根據小米官方公告可知,當時恰逢網絡惡劣,而米家系統正在緩存更新,因此該系統與谷歌Home Hub的集成環節就發生了故障。
同樣是上個月底,美國攝像頭廠商Wyze泄漏暴露了240萬用戶的客戶數據,據稱是其員工在使用該數據庫時錯刪了安全協議。
2019年3月,美國攝像頭巨頭Arlo也被爆出系統存在兩大Bug,包括網絡配置錯誤和UART保護機制不足。
在壹條用戶看不到的視頻流傳輸鏈條中,傳輸網絡、子系統、集成系統、服務器等各個環節都可能成為薄弱環節,為黑客制造可入侵的機會。
然而,黑客的入侵固然令人擔憂,運營商的“偷窺”則令人更難以接受。 2020年新年剛過,亞馬遜公布的壹則消息令人咋舌:亞馬遜解雇四名員工,因為在過去四年中,Ring的四名員工濫用職權訪問用戶視頻數據。
如果說黑客入侵還可以防範的話,那麽運營商的“窺探”則是防不甚防。
當用戶安裝了亞馬遜或谷歌的攝像頭之後,就等於將自己的隱私交到了亞馬遜和谷歌手裏。在毫不設防的情況下,用戶的視頻數據可能被拿來訓練AI模型、構建用戶畫像、投入精準廣告。而壹旦數據濫用的口子打開,引發的違法犯罪勾當則再難避免。
近年來,攝像頭越來越成為居民的日常智能家居設備。吸貓、看娃、抓賊、看護老人、作智能貓眼……眾多應用場景,壹個攝像頭和壹臺手機搞定。
Strategy Analytics報告指出,全球智能家居攝像頭市場年年攀升,2019年將達80億美元市場規模,2023將以14%增速達130億美元市場規模。
全球的家庭、租戶及商鋪對攝像頭的需求都在增長,但安全隱私問題卻成為壹根倒刺,讓用戶面臨“因噎廢食”的窘境。尤其對於我國方興未艾的家用攝像頭行業,這根“刺”顯得格外梗喉。
用戶管理好自己的密碼,被認為是壹條行至有效的路徑。 在買回攝像頭後,用戶應該修改原始密碼,並盡量不要將壹個密碼在多個平臺***用,“密碼+驗證碼”、“密碼+指紋”的雙重驗證也被認為是強力保障。除此之外,不貪小便宜購買三無攝像頭也能夠避免壹些風險。
▲壹些攝像頭的初始密碼非常簡單
但僅僅要求用戶自衛遠遠不夠。
廠家和運營商把握著視頻流傳輸中的眾多薄弱環節。 升級雲服務器能力,優化傳輸網絡,定期修復系統Bug、更新升級平臺,從而在技術層面做到“堅如磐石”。
壹位來自大華股份的專業人士稱,因為我國在安防領域有著深厚實踐,在視頻加密方面的技術居於世界領先地位,視頻加密級別越來越強,因此往往在剛剛接觸到攻擊,服務器就能快速反應,在用戶完全“無感”的情況下就將入侵隔絕在外了。
除此之外,為攝像頭增加物理遮擋,成為各大攝像頭廠商應對安全隱私泄露的最直接舉措。用戶可以在App上開關攝像頭,只選擇在需要的時候打開攝像頭。
放棄雲服務,做視頻本地存儲和本地AI化也成為壹種路徑,但這種攝像頭的價錢本身可能會昂貴許多,且對於廠商來說難以通過叠代的軟件升級獲得生態效應。
從更深層次來說,在用戶和企業的自律之外,法律的監管和約束對攝像頭行業尤其重要。
壹方面,企業使用用戶視頻數據的界限在哪裏?隨著家用攝像頭的AI化、以及攝像頭與其它智能家居設備的打通,用戶視頻數據在AI模型訓練、用戶畫像繪制等方面的價值將更加明顯,如何將數據運營方關在“籠子”裏,需要靠相關部門和法律法規的規範。
另壹方面,不法人士的“偷窺成果”流向了哪裏?所有圍繞家用攝像頭誕生的“黑產”,都會有“叫賣聲”和“交易”的蛛絲馬跡浮出水面,執法部門的管理打擊力度也大大影響了智能攝像頭行業的命運走向。
2019年6月,我國溫州民警發現壹男子在QQ群中售賣攝像頭破解工具、被控制的家用攝像頭賬號密碼,甚至以10-20元價格售賣裸露、色情的偷拍視頻。
而就在近日,這起“非法控制十萬家用攝像頭”的案件水落石出,全國20多省份的32名犯罪嫌疑人被抓獲。
在歐美,雖然亞馬遜、谷歌壹再強調自己的視頻傳輸保密技術沒有問題,且不會濫用用戶的視頻數據,各大關於數據隱私的法律也相繼出臺。但是攝像頭頻頻暴雷卻成為2019年各大廠的真實寫照,值得我國的家用攝像頭行業警醒。
家居場景涉及人們最隱秘的部分,而對承載人們生活畫面的智能家用攝像頭來說,隱私安全具有極端特殊的重要性。沒有人會冒著“裸照被直播”的風險嘗鮮AI技術,企業壹旦在隱私安全上栽跟頭,就可能真正永遠失去用戶。