2019年,一阵刺耳的警报声突然穿过摄像机,吓坏了美国佛罗里达州的一家人。“这是你的孩子吗?”一个陌生的声音从摄像头中说道,“你好吗?你好吗?欢迎来到NulledCast。”NulledCast是一个在Discord上直播的播客。在这个节目中,黑客向人们展示了如何轻而易举地破解别人家里的Ring和Nest品牌的智能家居摄像头,并使用它们自带的扬声器与毫无戒心的主人聊天并骚扰他们。
这样的事情并不少见,不少网友表示有过相同的经历:“原本在家里安摄像头是怕猫咪独自在家有事,结果被入侵了。那人直接控制摄像头拉了一圈,看家里环境,还停顿放大,看回放的时候我真的吓死了……”“我装摄像头在卧室里,那天看的时候发现【在线人数2】,一瞬间头皮发麻。”“我有发言权!之前在装监控的后台上过班,卖出去的每一个监控我都能看见画面!”
据统计,截至2022年10月,约有一半拥有互联网的美国家庭安装了家庭安全系统、监控摄像头、可视智能门铃等设备。但与此同时,这些摄像头又给人带来了新的“烦恼”:邻居的日常出行不可避免地入镜,被可视智能门铃识别为陌生人发出警告;别有用心的人以个人安全为理由偷拍他人影像;云端保存的视频可能被兜售等。
美国联邦贸易委员会曾发现Ring(亚马逊旗下一家经营家庭安全和智能家居设备的公司)的员工多年来可以不受限制地访问用户视频,从而对该公司做出了580万美元的罚款。该机构表示,不仅如此,Ring的员工还能够轻松下载任何客户的视频,随意查看、分享或在其他网络上传这些视频。
除了监控设备公司的员工可以自行查看视频外,造成摄像头画面泄漏最主要的原因很可能是摄像头端口指纹特征被泄漏,外加设置了过于简单的密码。联邦贸易委员会在论述Ring存在的隐私问题的同一份报告中还指出,Ring不限制个人(或程序)输入错误登录密码的次数,很容易就可以使用暴力破解密码。
Motherboard在2019年的一项调查显示,Ring系统甚至允许账户在不同国家/地区同时登录,并且不会标记登录同一账户的用户数量,记录登录信息。而该公司在面对用户名和密码被盗的多起事件,也未积极做出响应,并修复漏洞。直到一年后,Ring才强制实施了双因素身份验证,采用端对端加密,不经过云端。
即使没有黑客恶意访问,这些家用监控设备也存在其他的安全问题。Wire-cutter报道称,即使在恢复出厂设置后再出售该设备,GoogleNest家庭安全摄像头仍然允许其前主人访问该摄像头。电子前沿基金会研究监视和治安问题的高级政策分析师马修·瓜里格利亚(Mat-thew Guariglia)说:“我们只有在受到伤害时才会发现新的隐私和安全问题,在此之前,我们并不知道有哪些漏洞被别有用心之人利用了。”
那么,在不得不安装家用监控摄像头后,我们该如何保护自己的隐私呢?
不买廉价摄像头或者二手摄像头。科技产品都具备一定研发成本,很多廉价/二手摄像头虽然看上去物美价廉,性价比很高,几十块钱就能入手,但背后存在的泄漏风险却是翻倍上升。
谨慎开通云服务。目前家用摄像头机身存储很少,带卡存储亦空间有限(一般都是32G或者是64G),为了存储更多录像视频,摄像头厂商纷纷引入了“云服务”这一概念,但云端隐私极易泄露。如果你已经开通了这个功能,可以选择定期清理云端存储的视频,并关注云服务的上传节点,避免云端泄漏时被不法分子“一览无余”。
设置复杂密码。据报道,大部分入侵都是因为密码设置得过于简单。如果你在使用不同的服务和网站上都使用了相同的登录名或者密码,那么信息有可能已经被泄露并且被恶意获取。
(阿娴)