“陌生的老人躺在扶手椅上�����、嬰兒躺在床上睡覺�、陽光明媚的客廳?!?/span>
近日,一個荷蘭小伙用自家的小米攝像頭聯(lián)接谷歌Nest Hub時�����,卻看到了別人家的視頻畫面��。事后�,谷歌立刻在谷歌助手上禁用小米攝像頭集成����。
無獨有偶,美國另一家智能攝像頭巨頭亞馬遜也幾乎同一時間暴雷�����。
密西西比州,黑客入侵了一個家庭的亞馬遜Ring攝像頭�。對方自稱是圣誕老人,差點嚇壞了家里的小女孩���。沒幾天后�����,亞馬遜Ring被爆出超4000個賬戶泄露���,可讓黑客遠程監(jiān)控、竊取信息��。
而在我國�,元旦剛過,浙江警方破獲了一起“非法控制十萬攝像頭”的案件��,跨越20省抓獲32名嫌疑人����。這些人在QQ群中售賣攝像頭破解工具、被控攝像頭賬號密碼��,甚至以10-20元價格售賣裸露��、色情的偷拍視頻�����。
全球智能家居攝像頭市場年年攀升,預計2023將以14%增速達130億美元的規(guī)模�����。而家用攝像頭也擺脫了“電腦外設”��、“笨重安防設備”的標簽����,成為看娃、吸貓����、照顧老人的日常智能家居設備。
但頻繁發(fā)生的攝像頭暴雷事件卻成為許多用戶心中的“倒刺”�����。黑客入侵���、隱私直播等事件為什么會頻頻發(fā)生?問題的解法又是什么?令人費解�����。
一���、2019年智能家用攝像頭暴雷頻發(fā)
自2019年初起�����,谷歌Nest攝像頭就開始接連爆出類似“坑”�����。
伊利諾伊州的一對夫婦稱黑客通過攝像頭跟嬰兒講話���,并把Nest恒溫器調(diào)到了90華氏度(約為32攝氏度);ABC報道一個Nest用戶遭到來自攝像頭的口頭虐待和勒索贖金……
亞馬遜這邊,12月28日���,有美國公民甚至把亞馬遜Ring告上法庭�,列舉了八大實例�,直指亞馬遜的Ring相機容易受到黑客攻擊。而后����,Ring被查出有內(nèi)部員工濫用職權訪問用戶視頻數(shù)據(jù)。
谷歌和亞馬遜是北美兩大家用攝像頭巨頭��。Nest公司曾因為恒溫器的走紅而被谷歌收歸麾下�,Ring于2018年被亞馬遜以839美元收購,它們與路由器出身的Arlo公司一起占據(jù)了北美近80%的家用攝像頭市場份額�����。
2019年�,亞馬遜和谷歌的智能音箱頻頻暴雷,也為其攝像頭安全問題增添了不安的底色����。
2019年4月,亞馬遜被曝在未告知用戶的情況下雇人監(jiān)聽Alexa錄音�,對內(nèi)容進行轉錄、標注���,然后反饋給軟件;兩個月后���,谷歌助手超1000個錄音信息遭到泄露����,其中包括大量在音箱沒被喚醒時的錄音��,涉及臥室對話�����、父母和孩子之間的對話和大量私人信息電話……
相比于智能音箱隱私泄露的危害��,家用攝像頭可謂有過之而無不及�。
一些黑客僅僅為了惡作劇、炫耀自己的“職業(yè)素養(yǎng)”而入侵攝像頭���,一些則更加邪惡�。據(jù)了解���,有黑客在名為NulledCast的播客中直播了入侵他人家中的內(nèi)容���,甚至滋生出“15元直播對床視頻”類似的黑產(chǎn),一些不法人員還通過攝像頭進行敲詐勒索�����。
家用攝像頭本是看護孩子老人的助手,卻成了“魔鬼”潛入家里的“眼睛”����。
二�����、何以至此?
“用戶密碼”成為廣為人知的薄弱環(huán)節(jié)�。
一方面,一些用戶在安裝攝像頭后直接使用原始密碼;另一方面����,一些用戶在不同的平臺和賬戶都采用相同的密碼,這些情況都為黑客入侵創(chuàng)造了機會����。
▲使用原始密碼的攝像頭機器容易被破解
一些企業(yè)和專家表示,受到黑客侵擾的����,往往是在不同的平臺和網(wǎng)站上使用相同名稱和密碼的人��。當某站點被入侵后�,黑客能使用被盜的名稱和密碼來嘗試闖入其它平臺帳戶�。
比如之前的“黑客入侵扮圣誕老人嚇壞小女孩”、“黑客把室溫調(diào)到90華氏度”的事件都被認為是這一原因���。
Ring的一位發(fā)言人曾說:“不良行為者從其他公司的數(shù)據(jù)泄露中收集賬號密碼數(shù)據(jù)�,供其它不良行為者訪問其它服務�,這種情況并不少見?����!?/p>
然而�,這并不能解釋所有問題。僅僅將問題歸因于用戶不改密碼�����、密碼太簡單�����,則容易陷入企業(yè)和相關部門推卸責任的公關話術。
視頻流的傳輸是一條長長的鏈條���,從攝像頭端到云服務器�����,從獨立系統(tǒng)到集成系統(tǒng),從視頻云平臺到手機�����、Pad等設備端�,每一個節(jié)點和傳輸通道都可能成為薄弱環(huán)節(jié)。
本次谷歌Nest Hub-小米攝像頭的畫面誤接入就是一個實例�。根據(jù)小米官方公告可知,當時恰逢網(wǎng)絡惡劣��,而米家系統(tǒng)正在緩存更新��,因此該系統(tǒng)與谷歌Home Hub的集成環(huán)節(jié)就發(fā)生了故障����。
同樣是上個月底,美國攝像頭廠商Wyze泄漏暴露了240萬用戶的客戶數(shù)據(jù)��,據(jù)稱是其員工在使用該數(shù)據(jù)庫時錯刪了安全協(xié)議。
2019年3月��,美國攝像頭巨頭Arlo也被爆出系統(tǒng)存在兩大Bug����,包括網(wǎng)絡配置錯誤和UART保護機制不足。
在一條用戶看不到的視頻流傳輸鏈條中��,傳輸網(wǎng)絡����、子系統(tǒng)、集成系統(tǒng)�����、服務器等各個環(huán)節(jié)都可能成為薄弱環(huán)節(jié),為黑客制造可入侵的機會����。
然而,黑客的入侵固然令人擔憂���,運營商的“偷窺”則令人更難以接受�。2020年新年剛過�,亞馬遜公布的一則消息令人咋舌:亞馬遜解雇四名員工,因為在過去四年中�,Ring的四名員工濫用職權訪問用戶視頻數(shù)據(jù)����。
如果說黑客入侵還可以防范的話,那么運營商的“窺探”則是防不甚防����。
當用戶安裝了亞馬遜或谷歌的攝像頭之后,就等于將自己的隱私交到了亞馬遜和谷歌手里��。在毫不設防的情況下�����,用戶的視頻數(shù)據(jù)可能被拿來訓練AI模型、構建用戶畫像����、投入精準廣告。而一旦數(shù)據(jù)濫用的口子打開��,引發(fā)的違法犯罪勾當則再難避免�。
三、如何防范���,僅僅改密碼就完事了?
近年來���,攝像頭越來越成為居民的日常智能家居設備。吸貓���、看娃�、抓賊��、看護老人�、作智能貓眼……眾多應用場景,一個攝像頭和一臺手機搞定�。
Strategy Analytics報告指出�����,全球智能家居攝像頭市場年年攀升�����,2019年將達80億美元市場規(guī)模��,2023將以14%增速達130億美元市場規(guī)模�����。
全球的家庭�����、租戶及商鋪對攝像頭的需求都在增長,但安全隱私問題卻成為一根倒刺��,讓用戶面臨“因噎廢食”的窘境���。尤其對于我國方興未艾的家用攝像頭行業(yè)�,這根“刺”顯得格外梗喉���。
用戶管理好自己的密碼�����,被認為是一條行至有效的路徑�����。在買回攝像頭后�����,用戶應該修改原始密碼�,并盡量不要將一個密碼在多個平臺共用,“密碼+驗證碼”�、“密碼+指紋”的雙重驗證也被認為是強力保障。除此之外�,不貪小便宜購買三無攝像頭也能夠避免一些風險。
▲一些攝像頭的初始密碼非常簡單
但僅僅要求用戶自衛(wèi)遠遠不夠���。
廠家和運營商把握著視頻流傳輸中的眾多薄弱環(huán)節(jié)����。升級云服務器能力�����,優(yōu)化傳輸網(wǎng)絡��,定期修復系統(tǒng)Bug����、更新升級平臺,從而在技術層面做到“堅如磐石”���。
一位來自大華股份的專業(yè)人士稱����,因為我國在安防領域有著深厚實踐����,在視頻加密方面的技術居于世界領先地位�,視頻加密級別越來越強�,因此往往在剛剛接觸到攻擊��,服務器就能快速反應��,在用戶完全“無感”的情況下就將入侵隔絕在外了�����。
除此之外�,為攝像頭增加物理遮擋,成為各大攝像頭廠商應對安全隱私泄露的最直接舉措��。用戶可以在App上開關攝像頭����,只選擇在需要的時候打開攝像頭。
放棄云服務�����,做視頻本地存儲和本地AI化也成為一種路徑����,但這種攝像頭的價錢本身可能會昂貴許多,且對于廠商來說難以通過迭代的軟件升級獲得生態(tài)效應�����。
從更深層次來說,在用戶和企業(yè)的自律之外�,法律的監(jiān)管和約束對攝像頭行業(yè)尤其重要。
一方面��,企業(yè)使用用戶視頻數(shù)據(jù)的界限在哪里?隨著家用攝像頭的AI化�、以及攝像頭與其它智能家居設備的打通,用戶視頻數(shù)據(jù)在AI模型訓練����、用戶畫像繪制等方面的價值將更加明顯,如何將數(shù)據(jù)運營方關在“籠子”里�����,需要靠相關部門和法律法規(guī)的規(guī)范�����。
比如���,2018年5月����,歐洲就曾推出《通用數(shù)據(jù)保護條例》���,規(guī)定用戶數(shù)據(jù)收集方必須清楚地披露收集的任何數(shù)據(jù)��,聲明數(shù)據(jù)處理的合法基礎和目的��。2019年1月21日����,谷歌就被曝因違反GDPR被法國國家數(shù)據(jù)保護委員會處以5000萬歐元的罰款���。
另一方面��,不法人士的“偷窺成果”流向了哪里?所有圍繞家用攝像頭誕生的“黑產(chǎn)”��,都會有“叫賣聲”和“交易”的蛛絲馬跡浮出水面�,執(zhí)法部門的管理打擊力度也大大影響了智能攝像頭行業(yè)的命運走向��。
2019年6月����,我國溫州民警發(fā)現(xiàn)一男子在QQ群中售賣攝像頭破解工具、被控制的家用攝像頭賬號密碼,甚至以10-20元價格售賣裸露���、色情的偷拍視頻���。
而就在近日,這起“非法控制十萬家用攝像頭”的案件水落石出���,全國20多省份的32名犯罪嫌疑人被抓獲�。
結語:莫讓“隱私泄露”成家用攝像頭的倒刺
在歐美����,雖然亞馬遜、谷歌一再強調(diào)自己的視頻傳輸保密技術沒有問題�,且不會濫用用戶的視頻數(shù)據(jù),各大關于數(shù)據(jù)隱私的法律也相繼出臺����。但是攝像頭頻頻暴雷卻成為2019年各大廠的真實寫照�,值得我國的家用攝像頭行業(yè)警醒。
我國的家用攝像頭市場剛剛打開�,還沒有形成像亞馬遜、谷歌這樣的巨頭��,目前也還沒出現(xiàn)如此大面積暴雷的跡象�。但隨著AI潮流促進家用攝像頭迎來新一輪爆發(fā),可以預見�����,智能攝像頭行業(yè)會迎來洗牌���,類似的安全隱私問題也必然會被大眾越來越關注��。(一場AI引發(fā)的攝像頭之戰(zhàn)��!消費巨頭與安防老炮短兵相接)
家居場景涉及人們最隱秘的部分����,而對承載人們生活畫面的智能家用攝像頭來說,隱私安全具有極端特殊的重要性�����。沒有人會冒著“裸照被直播”的風險嘗鮮AI技術��,企業(yè)一旦在隱私安全上栽跟頭����,就可能真正永遠失去用戶。
