你有没有想过,你放在家里看娃、看宠物、看老人的网络摄像头,可能正在被陌生人偷偷观看?这段时间我身边发生的一件事,加上年初警方破获的多起案件,让我对ipcamera(网络摄像头)的隐私风险有了切肤之痛,今天就跟大家好好聊聊这件事。
从“看娃神器”到偷窥后门,真实案例就在身边
去年我表姐生完孩子,产假结束要回公司上班,不放心请的住家保姆带娃,想着花百八十块买个ipcamera放客厅,随时能看宝宝状态,也能看看保姆有没有好好带孩子,她当时为了省钱,在某拼购平台选了一款销量十几万、只要99元还送32G内存卡的杂牌摄像头,签收当天就装上了。
头半个月用着确实方便,上班摸鱼就能打开看宝宝睡觉,表姐还跟我夸这个钱花得值,结果半个月后的一个周末,她躺在沙发刷短视频,刷到一个私密账号发的“家用摄像头偷拍合集”,往下翻了没几条,她瞬间浑身冰凉:视频里出现了她家的浅色布艺沙发,沙发上还放着她前一天刚给宝宝买的小熊连体衣,角度完全就是她装摄像头的位置。
夫妻俩当时就慌了,立刻拔了摄像头电源,用胶带把镜头缠了三层,然后报警,警察过来排查后说,大概率是这个杂牌ipcamera没有做安全加密,被黑客扫描破解了,视频流被偷出去传到了网上,因为发视频的账号服务器在境外,最后也没能追到源头,这件事之后,表姐好长一段时间都疑神疑鬼,总觉得哪里有眼睛在看她,家里所有带摄像头的智能设备全被她收进了柜子,拉窗帘必须拉得严严实实。
这不是个例,就在2024年2月,浙江宁波宁海警方刚破获了一起全国范围的非法控制家用ipcamera案件,嫌疑人是一名21岁的年轻男子,自己写了一款批量扫描工具,专门扫互联网上开放端口的杂牌ipcamera,用默认弱口令挨个试,一共破解控制了近10万台家用摄像头,然后把这些摄像头的访问权限整理好,放在网上倒卖:1块钱卖5个访问地址,月卡15元、年卡88元就能进群随便看,警方抓他的时候,他已经靠这个赚了15万多,被控制的摄像头里,超过七成都是普通家庭的ipcamera,不少还对着卧室、浴室。
无独有偶,2024年3月山东枣庄警方也破获了同类案件,一个犯罪团伙一共控制了超过15万台家用ipcamera,累计卖出几千个观看权限,购买者大多是有偷窥癖好的人,专门选普通家庭的摄像头购买,这些最新的案例都告诉我们:ipcamera的隐私陷阱,早就来到了我们每个人身边,不是只有名人才会被盯上,普通人的摄像头同样是黑客的目标。
为什么廉价ipcamera成了黑客的“公共金矿”
很多人会疑惑,我就是个普通人,既没钱也没名气,黑客为什么要盯着我的摄像头?其实答案很简单:ipcamera本来就是批量薅的“羊毛”,根本不需要挑人,而廉价杂牌ipcamera天生就带着漏洞,几乎是向黑客敞开大门。
第一个原因就是厂商逐利,直接砍掉了安全成本,一款合格的家用ipcamera,要做传输加密、身份验证、服务器安全维护,还要定期更新固件修复漏洞,这些都是实打实的成本,算下来一台的出厂成本就要一百多,而杂牌厂商卖99元还包邮送内存卡,想要赚钱只能砍安全:不用加密算法,不做身份验证,默认密码全是admin、123456,服务器用最便宜的托管服务器,安全防护几乎为零。
2023年国家网信办发布的《家用智能摄像头安全状况测评报告》就能说明问题:工作人员随机购买了30款销量靠前的廉价ipcamera,其中21款存在弱口令漏洞,16款允许视频信息明文传输,也就是说黑客半路就能截走你的监控画面;超过六成的品牌,产品卖出之后就再也不会推送固件更新,哪怕发现了安全漏洞也不管,不少小厂商卖完一批货就直接倒闭,留下一堆没人管的“孤儿摄像头”挂在网上,随便黑客入侵。
第二个原因就是大多数用户安全意识淡薄,给黑客留了后门,很多用户买了ipcamera之后,从来不会改默认密码,也不会关闭不必要的远程访问权限,甚至用完就扔在那里,三五年都不更新一次固件,我之前帮朋友调试摄像头,见过好几个用户的密码还是123456,问他们为什么不改,都说“反正我也没什么秘密,改了还记不住”“黑客看我这个有什么用”。
可对黑客来说,他们根本不挑,用扫描器几个小时就能扫出来几千台在线的ipcamera,一个弱口令就能进去一大半,拿到访问权之后转手就能卖钱,哪怕一块钱五个,一万个就是两千块,积少成多就是不小的利润,再加上很多用户习惯把摄像头放在卧室、客厅这些隐私区域,正好符合灰色市场买家的需求,自然就成了黑客眼里的公共金矿。
ipcamera真的不能用了吗?选对用好其实很安全
说了这么多风险,肯定有人会说:那我不用ipcamera总行了吧?可现实是,对很多人来说,ipcamera早就成了生活刚需:异地打拼的年轻人,给老家的父母装一个,万一老人摔倒能第一时间发现;上班的铲屎官,装一个在家里就能随时看猫主子拆家不;租房子的年轻人,出门旅游装一个,能随时看家里有没有进贼,这种需求是真实存在的,不能因为有风险就彻底不用。
我身边就有做网络安全的朋友,家里照样装了两个ipcamera,一个在门口拍快递,一个在客厅看猫,用了四五年从来没出过问题,核心就是选对产品、用对方法,只要做好这几点,完全可以放心用:
第一,永远不要贪便宜买杂牌,9块9包邮、39块包邮的ipcamera,再便宜也不要碰,一定要选正规大厂的产品,哪怕多花一两百块,买的是隐私安全,毕竟隐私无价,正规大厂会定期更新固件修复漏洞,也有成熟的加密机制,就算出了问题也能找到人,不会像杂牌一样卖完就跑。
第二,买回来第一时间改强密码,不要用生日、手机号、123456这种弱密码,最好是大小写字母加数字加符号的组合,记不住就用密码管理器存起来,很多人就是懒得改密码,才给了黑客可乘之机,如果支持二次验证,一定要打开,就算密码不小心泄露了,对方没有二次验证也进不去。
第三,关掉不必要的权限,放对位置,如果你只是在家里面用,不需要出门远程看,那就直接把远程访问功能关掉,只在本地局域网用,黑客根本入侵不了;如果需要远程看,尽量用厂商提供的官方内网穿透服务,不要自己把端口开放到公网上,摄像头绝对不要装在卧室、卫生间这些隐私区域,尽量放在门口、客厅这些公共区域,不用的时候直接切断电源,或者把镜头盖住。
我那个做网络安全的朋友,他的习惯就是每三个月换一次密码,每次看到厂商推送固件更新立刻更,摄像头只装在门口和客厅,从来不对着卧室,所以用了这么多年一直都很安全,只要多上点心,完全可以既享受便利又保护隐私。
守住安全底线,不能只靠用户自己
ipcamera的隐私保护,不能只靠普通人自己提高意识,厂商和监管还要补上很多漏洞,好在我们已经看到了变化,2024年7月国家网信办、工信部联合出台了新的《网络产品安全漏洞管理规定》,明确要求所有联网智能产品包括ipcamera在内,厂商必须建立漏洞修复机制,在产品生命周期内定期更新固件,还要向用户明示安全维护期限,这已经是很大的进步。
但我个人认为,还有很多地方需要完善:电商平台要负起审核责任,不能什么杂牌三无ipcamera都允许卖,很多小厂商换个店名换个品牌就能接着卖,出了事找不到人,平台应该把好第一道关,要求上架的ipcamera必须通过强制安全检测,没有资质的就不许卖,要明确厂商的责任,要求产品停售之后至少还要提供3年的安全维护,厂商如果倒闭退市,也要有相应的承接机制,不能让大量“孤儿摄像头”留在网上变成黑客的猎物,对非法入侵倒卖摄像头画面的黑色产业链,要进一步提高违法成本,现在不少案子嫌疑人赚了十几万,最后量刑并不重,只有加大处罚力度,才能从根源上震慑这种违法犯罪行为。
ipcamera本身是个好技术,它本来是为了消解我们离家后的牵挂,让我们能随时看到自己在乎的人,解决了很多普通人的生活痛点,技术本身没有错,错的是逐利的黑心厂商和违法的黑客,对我们普通人来说,提高安全意识,不贪小便宜,选对用好ipcamera,就是保护自己隐私的第一步;而对行业和监管来说,守住安全底线,才能让这个方便生活的工具,真正服务于大众,而不是变成藏在我们家里的偷窥者,毕竟,我们装摄像头是为了安心,不是为了给自己找一个随时在线的“眼睛”。