網絡黑產的下一個目標：攝像頭泄露多少隱私？

隨著物聯網的發展，攝像頭已經成為人們生活中的一個尋常物件。無論是在公共場合還是私人空間，人們安裝攝像頭的初衷都是為了安全或者便利，但是現在，很多黑產團伙把攝像頭作為新的攻擊目標，它們反而成為了人們隱私泄露的安全隱患。

這并非危言聳聽。今年2月12日，國家互聯網應急中心發布一則預警通報稱，“近期，境外黑客組織聲稱將于2月中旬對我國發起網絡攻擊，以我國多家視頻監控系統作為攻擊目標，并公布了其掌握的一批相關視頻監控系統在用境內IP地址”。

3月10日，國家互聯網應急中心下屬的關鍵基礎設施安全應急響應中心發布報告稱，半個多月的時間內，針對特定漏洞的物聯網惡意代碼攻擊事件數達到6700萬次，單個組織對數十萬個IP地址發起攻擊嘗試。可以認為，只要物聯網設備暴露到互聯網上，隨時有被攻擊的可能，并且可能被不同組織反復攻擊。

那么暴露在互聯網上的攝像頭有多少個？此前發布的《2018年攝像頭安全報告》有過統計，截至2018年11月底，全球共有228個國家8063個城市中的2635萬個攝像頭設備對公網開放訪問權限。其中，中國位列第三，共有165萬個。

由此可見，處于不安全狀態的攝像頭并不在少數。3月25日，21世紀經濟報道記者采訪了化名為KK的騰訊守護者計劃安全專家，他表示，在與網絡犯罪對抗中，永遠是犯罪走在前面，這也要求我們要時刻關注網絡安全發展，尤其是在技術變革的時代，特別容易出現技術漏洞。

但KK也表示，對于網絡安全也不必過于恐慌，國內的安全公司在對抗黑產過程中也沉淀出了很多方法論，只要能夠保證對新技術的及時掌握及提高警惕，還是能起到很大的防御作用。

罪惡的窺私欲

網絡黑產的出現，都是受利益所驅動。攝像頭背后能有哪些利益？KK告訴記者，黑產鏈大概分為攝像頭破解工具開發出售、網絡攝像頭掃描、攝像頭視頻搜集售賣三個環節。

其中，攝像頭破解工具的開發和出售處于黑產鏈條的最上游。這些掌握技術能力的黑產團伙開發出的軟件具有掃描功能，可以批量獲得攝像頭ID，然后進行弱口令探測。

而“網絡攝像頭掃描”則是黑產鏈條的中游，一些黑產團伙在獲得上游提供的破解工具后，開始大批量的“攻擊”網絡攝像頭，當成功獲取了網絡攝像頭標識ID后，便批量廉價出售。在國外的通訊工具上，就曾發現有人198塊錢打包出售500個攝像頭ID號。

KK告訴記者，在售賣攝像頭ID環節，有些黑產人員會一個一個ID去篩選，然后將有涉及公民隱私特別是一些敏感畫面的ID，單獨打包出售，往往這樣的ID可以賣得價錢更高。

黑產鏈條最下游就是直接售賣攝像頭視頻。當黑產團伙拿到大批量偷拍或者監控視頻，如在住宅樓道、車站、賓館等隱私場所的視頻后，會按照敏感及隱私程度明碼標價，然后出售給以“色情網站”為主的其他黑產團伙，實現盈利。

攝像頭黑產鏈條的上中下游，獲利的方式都各不相同，一位網絡安全與犯罪研究人員告訴記者，從現有的判例結果來看，通過攝像頭后續進行犯罪的，超過50%都是用于敲詐勒索。但需要注意的是，這里面也包括了那些針對某一個被害人，專門安裝攝像頭拍攝及敲詐勒索的偷拍案例。

另外一位從事網絡安全的人士表示，網絡黑產之所以存在，都是因為最終有人愿意為之買單。像攝像頭盜拍，最終目的就是為了獲取隱私畫面，因為他們知道一定有人愿意花錢滿足自己的窺私欲。

最近，韓國的N號房事件鬧得沸沸揚揚，也讓隱私保護的話題再次升溫。但KK坦言，目前國內黑產的水平，無論是精細化程度還是產業鏈條的成熟度，都已經走在了國際前列。而且隨著國內安全行業以及政府部門的不斷打壓，部分黑產團伙正開始向境外轉移。

“黑產使用像暗網這樣的平臺工具，就是因為它的隱匿化，包括很多黑產的資金都開始利用比特幣，這都給黑產的追蹤溯源帶來了難度，但這也是全球性的問題。不過，現在黑產的產業鏈條變得很長，只要有一個環節出現漏洞就能夠挖掘到一些線索。”KK說。

安全意識弱是最大漏洞

據KK介紹，目前黑產團伙攻擊網絡攝像頭的方式主要有以下幾種：一是針對攝像頭終端，黑產團伙通過調試攝像頭硬件上的接口固件以及對設備序列號篡改的方式，獲取硬件編碼等敏感信息并進行協議破解。

二是針對手機端攝像頭應用，黑產團伙會進行靜態反編譯，通過通信安全進行中間人攻擊以及協議的抓包和誘騙；三是針對云端，一些攝像頭的數據會傳至云端，黑客則通過滲透WEB訪問界面的子域名，進行信息竊取。

在與黑產的對抗過程中，KK發現攝像頭的安全防護也確實存在一些難點。他表示，網絡攝像頭作為物聯網設備本身就很容易存在技術漏洞，同時一些軟件都是固化在硬件上，很難及時更新填補。

更為重要的是，大多數用戶對攝像頭的安全意識還不足夠高。“他們在選購攝像頭的時候，只會從外觀上看好不好看，并不去了解網絡安全性，而且很多用戶把攝像頭買回來就直接用弱口令或者默認密碼直接使用，這些都給黑產團伙留下了可乘之機。”KK說。

某品牌網絡攝像頭的研發人員告訴21世紀經濟報道，市場上主流的攝像頭公司，都會把安全性放在非常重要的位置，但是，在安全問題上沒人敢做出百分之百的保證，而且目前隱私泄露的最主要原因，都是由于用戶的大意而造成。

針對攝像頭廠商，KK也建議，應該禁止用戶直接使用默認的用戶名和密碼登錄。同時針對個人用戶，KK則建議，要盡量使用復雜的密碼并定期修改，而且攝像頭不要對著床、浴室等私人空間，最好回家后就將攝像頭關閉或遮擋。