導(dǎo)讀:魔鬼在窺聽!自家攝像頭驚現(xiàn)別家娃,攝像頭突然出聲嚇壞小蘿莉,國外家用攝像頭為何頻頻暴雷?
“陌生的老人躺在扶手椅上、嬰兒躺在床上睡覺、陽光明媚的客廳?!?/span>
近日,一個荷蘭小伙用自家的小米攝像頭聯(lián)接谷歌Nest Hub時,卻看到了別人家的視頻畫面。事后,谷歌立刻在谷歌助手上禁用小米攝像頭集成。
無獨有偶,美國另一家智能攝像頭巨頭亞馬遜也幾乎同一時間暴雷。
密西西比州,黑客入侵了一個家庭的亞馬遜Ring攝像頭。對方自稱是圣誕老人,差點嚇壞了家里的小女孩。沒幾天后,亞馬遜Ring被爆出超4000個賬戶泄露,可讓黑客遠(yuǎn)程監(jiān)控、竊取信息。
而在我國,元旦剛過,浙江警方破獲了一起“非法控制十萬攝像頭”的案件,跨越20省抓獲32名嫌疑人。這些人在QQ群中售賣攝像頭破解工具、被控攝像頭賬號密碼,甚至以10-20元價格售賣裸露、色情的偷拍視頻。
全球智能家居攝像頭市場年年攀升,預(yù)計2023將以14%增速達(dá)130億美元的規(guī)模。而家用攝像頭也擺脫了“電腦外設(shè)”、“笨重安防設(shè)備”的標(biāo)簽,成為看娃、吸貓、照顧老人的日常智能家居設(shè)備。
但頻繁發(fā)生的攝像頭暴雷事件卻成為許多用戶心中的“倒刺”。黑客入侵、隱私直播等事件為什么會頻頻發(fā)生?問題的解法又是什么?令人費解。
一、2019年智能家用攝像頭暴雷頻發(fā)
自2019年初起,谷歌Nest攝像頭就開始接連爆出類似“坑”。
伊利諾伊州的一對夫婦稱黑客通過攝像頭跟嬰兒講話,并把Nest恒溫器調(diào)到了90華氏度(約為32攝氏度);ABC報道一個Nest用戶遭到來自攝像頭的口頭虐待和勒索贖金……
亞馬遜這邊,12月28日,有美國公民甚至把亞馬遜Ring告上法庭,列舉了八大實例,直指亞馬遜的Ring相機容易受到黑客攻擊。而后,Ring被查出有內(nèi)部員工濫用職權(quán)訪問用戶視頻數(shù)據(jù)。
谷歌和亞馬遜是北美兩大家用攝像頭巨頭。Nest公司曾因為恒溫器的走紅而被谷歌收歸麾下,Ring于2018年被亞馬遜以839美元收購,它們與路由器出身的Arlo公司一起占據(jù)了北美近80%的家用攝像頭市場份額。
2019年,亞馬遜和谷歌的智能音箱頻頻暴雷,也為其攝像頭安全問題增添了不安的底色。
2019年4月,亞馬遜被曝在未告知用戶的情況下雇人監(jiān)聽Alexa錄音,對內(nèi)容進(jìn)行轉(zhuǎn)錄、標(biāo)注,然后反饋給軟件;兩個月后,谷歌助手超1000個錄音信息遭到泄露,其中包括大量在音箱沒被喚醒時的錄音,涉及臥室對話、父母和孩子之間的對話和大量私人信息電話……
相比于智能音箱隱私泄露的危害,家用攝像頭可謂有過之而無不及。
一些黑客僅僅為了惡作劇、炫耀自己的“職業(yè)素養(yǎng)”而入侵?jǐn)z像頭,一些則更加邪惡。據(jù)了解,有黑客在名為NulledCast的播客中直播了入侵他人家中的內(nèi)容,甚至滋生出“15元直播對床視頻”類似的黑產(chǎn),一些不法人員還通過攝像頭進(jìn)行敲詐勒索。
家用攝像頭本是看護(hù)孩子老人的助手,卻成了“魔鬼”潛入家里的“眼睛”。
二、何以至此?
“用戶密碼”成為廣為人知的薄弱環(huán)節(jié)。
一方面,一些用戶在安裝攝像頭后直接使用原始密碼;另一方面,一些用戶在不同的平臺和賬戶都采用相同的密碼,這些情況都為黑客入侵創(chuàng)造了機會。
▲使用原始密碼的攝像頭機器容易被破解
一些企業(yè)和專家表示,受到黑客侵?jǐn)_的,往往是在不同的平臺和網(wǎng)站上使用相同名稱和密碼的人。當(dāng)某站點被入侵后,黑客能使用被盜的名稱和密碼來嘗試闖入其它平臺帳戶。
比如之前的“黑客入侵扮圣誕老人嚇壞小女孩”、“黑客把室溫調(diào)到90華氏度”的事件都被認(rèn)為是這一原因。
Ring的一位發(fā)言人曾說:“不良行為者從其他公司的數(shù)據(jù)泄露中收集賬號密碼數(shù)據(jù),供其它不良行為者訪問其它服務(wù),這種情況并不少見。”
然而,這并不能解釋所有問題。僅僅將問題歸因于用戶不改密碼、密碼太簡單,則容易陷入企業(yè)和相關(guān)部門推卸責(zé)任的公關(guān)話術(shù)。
視頻流的傳輸是一條長長的鏈條,從攝像頭端到云服務(wù)器,從獨立系統(tǒng)到集成系統(tǒng),從視頻云平臺到手機、Pad等設(shè)備端,每一個節(jié)點和傳輸通道都可能成為薄弱環(huán)節(jié)。
本次谷歌Nest Hub-小米攝像頭的畫面誤接入就是一個實例。根據(jù)小米官方公告可知,當(dāng)時恰逢網(wǎng)絡(luò)惡劣,而米家系統(tǒng)正在緩存更新,因此該系統(tǒng)與谷歌Home Hub的集成環(huán)節(jié)就發(fā)生了故障。
同樣是上個月底,美國攝像頭廠商Wyze泄漏暴露了240萬用戶的客戶數(shù)據(jù),據(jù)稱是其員工在使用該數(shù)據(jù)庫時錯刪了安全協(xié)議。
2019年3月,美國攝像頭巨頭Arlo也被爆出系統(tǒng)存在兩大Bug,包括網(wǎng)絡(luò)配置錯誤和UART保護(hù)機制不足。
在一條用戶看不到的視頻流傳輸鏈條中,傳輸網(wǎng)絡(luò)、子系統(tǒng)、集成系統(tǒng)、服務(wù)器等各個環(huán)節(jié)都可能成為薄弱環(huán)節(jié),為黑客制造可入侵的機會。
然而,黑客的入侵固然令人擔(dān)憂,運營商的“偷窺”則令人更難以接受。2020年新年剛過,亞馬遜公布的一則消息令人咋舌:亞馬遜解雇四名員工,因為在過去四年中,Ring的四名員工濫用職權(quán)訪問用戶視頻數(shù)據(jù)。
如果說黑客入侵還可以防范的話,那么運營商的“窺探”則是防不甚防。
當(dāng)用戶安裝了亞馬遜或谷歌的攝像頭之后,就等于將自己的隱私交到了亞馬遜和谷歌手里。在毫不設(shè)防的情況下,用戶的視頻數(shù)據(jù)可能被拿來訓(xùn)練AI模型、構(gòu)建用戶畫像、投入精準(zhǔn)廣告。而一旦數(shù)據(jù)濫用的口子打開,引發(fā)的違法犯罪勾當(dāng)則再難避免。
三、如何防范,僅僅改密碼就完事了?
近年來,攝像頭越來越成為居民的日常智能家居設(shè)備。吸貓、看娃、抓賊、看護(hù)老人、作智能貓眼……眾多應(yīng)用場景,一個攝像頭和一臺手機搞定。
Strategy Analytics報告指出,全球智能家居攝像頭市場年年攀升,2019年將達(dá)80億美元市場規(guī)模,2023將以14%增速達(dá)130億美元市場規(guī)模。
全球的家庭、租戶及商鋪對攝像頭的需求都在增長,但安全隱私問題卻成為一根倒刺,讓用戶面臨“因噎廢食”的窘境。尤其對于我國方興未艾的家用攝像頭行業(yè),這根“刺”顯得格外梗喉。
用戶管理好自己的密碼,被認(rèn)為是一條行至有效的路徑。在買回攝像頭后,用戶應(yīng)該修改原始密碼,并盡量不要將一個密碼在多個平臺共用,“密碼+驗證碼”、“密碼+指紋”的雙重驗證也被認(rèn)為是強力保障。除此之外,不貪小便宜購買三無攝像頭也能夠避免一些風(fēng)險。
▲一些攝像頭的初始密碼非常簡單
但僅僅要求用戶自衛(wèi)遠(yuǎn)遠(yuǎn)不夠。
廠家和運營商把握著視頻流傳輸中的眾多薄弱環(huán)節(jié)。升級云服務(wù)器能力,優(yōu)化傳輸網(wǎng)絡(luò),定期修復(fù)系統(tǒng)Bug、更新升級平臺,從而在技術(shù)層面做到“堅如磐石”。
一位來自大華股份的專業(yè)人士稱,因為我國在安防領(lǐng)域有著深厚實踐,在視頻加密方面的技術(shù)居于世界領(lǐng)先地位,視頻加密級別越來越強,因此往往在剛剛接觸到攻擊,服務(wù)器就能快速反應(yīng),在用戶完全“無感”的情況下就將入侵隔絕在外了。
除此之外,為攝像頭增加物理遮擋,成為各大攝像頭廠商應(yīng)對安全隱私泄露的最直接舉措。用戶可以在App上開關(guān)攝像頭,只選擇在需要的時候打開攝像頭。
放棄云服務(wù),做視頻本地存儲和本地AI化也成為一種路徑,但這種攝像頭的價錢本身可能會昂貴許多,且對于廠商來說難以通過迭代的軟件升級獲得生態(tài)效應(yīng)。
從更深層次來說,在用戶和企業(yè)的自律之外,法律的監(jiān)管和約束對攝像頭行業(yè)尤其重要。
一方面,企業(yè)使用用戶視頻數(shù)據(jù)的界限在哪里?隨著家用攝像頭的AI化、以及攝像頭與其它智能家居設(shè)備的打通,用戶視頻數(shù)據(jù)在AI模型訓(xùn)練、用戶畫像繪制等方面的價值將更加明顯,如何將數(shù)據(jù)運營方關(guān)在“籠子”里,需要靠相關(guān)部門和法律法規(guī)的規(guī)范。
比如,2018年5月,歐洲就曾推出《通用數(shù)據(jù)保護(hù)條例》,規(guī)定用戶數(shù)據(jù)收集方必須清楚地披露收集的任何數(shù)據(jù),聲明數(shù)據(jù)處理的合法基礎(chǔ)和目的。2019年1月21日,谷歌就被曝因違反GDPR被法國國家數(shù)據(jù)保護(hù)委員會處以5000萬歐元的罰款。
另一方面,不法人士的“偷窺成果”流向了哪里?所有圍繞家用攝像頭誕生的“黑產(chǎn)”,都會有“叫賣聲”和“交易”的蛛絲馬跡浮出水面,執(zhí)法部門的管理打擊力度也大大影響了智能攝像頭行業(yè)的命運走向。
2019年6月,我國溫州民警發(fā)現(xiàn)一男子在QQ群中售賣攝像頭破解工具、被控制的家用攝像頭賬號密碼,甚至以10-20元價格售賣裸露、色情的偷拍視頻。
而就在近日,這起“非法控制十萬家用攝像頭”的案件水落石出,全國20多省份的32名犯罪嫌疑人被抓獲。
結(jié)語:莫讓“隱私泄露”成家用攝像頭的倒刺
在歐美,雖然亞馬遜、谷歌一再強調(diào)自己的視頻傳輸保密技術(shù)沒有問題,且不會濫用用戶的視頻數(shù)據(jù),各大關(guān)于數(shù)據(jù)隱私的法律也相繼出臺。但是攝像頭頻頻暴雷卻成為2019年各大廠的真實寫照,值得我國的家用攝像頭行業(yè)警醒。
我國的家用攝像頭市場剛剛打開,還沒有形成像亞馬遜、谷歌這樣的巨頭,目前也還沒出現(xiàn)如此大面積暴雷的跡象。但隨著AI潮流促進(jìn)家用攝像頭迎來新一輪爆發(fā),可以預(yù)見,智能攝像頭行業(yè)會迎來洗牌,類似的安全隱私問題也必然會被大眾越來越關(guān)注。(一場AI引發(fā)的攝像頭之戰(zhàn)!消費巨頭與安防老炮短兵相接)
家居場景涉及人們最隱秘的部分,而對承載人們生活畫面的智能家用攝像頭來說,隱私安全具有極端特殊的重要性。沒有人會冒著“裸照被直播”的風(fēng)險嘗鮮AI技術(shù),企業(yè)一旦在隱私安全上栽跟頭,就可能真正永遠(yuǎn)失去用戶。