“摄像头”黑产遭严打:家庭隐私成重灾区,QQ群连夜改名
“家庭的是255元,酒店美容院试衣间455元,各种城市都有,我自己也看了,放心,绝对让你满满意意。”
陈发是一个以“家庭隐私视频偷窥”为关键词作为群名的QQ群群主,这个创建于2021年5月28日的交流群,不到一个月的时间,已经聚集了43名成员。
遇上个始终“犹豫不决”的顾客,陈发不得不更加费力地“吆喝”起来。“我是群主,你说找我买的人多不多。不会被发现,真的,你放心。”
群内大部分时间被设置成“全员禁言”,但陈发可以随意在里面散发广告——“最新酒店乐橙台、家庭台,400四台、600五台”。而一旦有新人加入,他会第一时间给对方发去私信,“需要什么吗?”
但最近,陈发敏锐地察觉到,风向似乎变了。
6月11日,中央四部门联合发布了一则公告,决定自2021年5月至8月,在全国范围组织开展摄像头偷窥黑产集中治理。“近年来,不法分子利用黑客技术破解并控制家用及公共场所摄像头,将智能手机、运动手环等改装成偷拍设备,出售破解软件,传授偷拍技术,供客户‘偷窥’隐私画面并借此牟利,已形成黑产链条,严重侵害公民个人隐私。”公告中提到。
陈发是其中“供客户‘偷窥’隐私画面并借此牟利”的一类。但即便在严监管下,这些黑产依然没有销声匿迹,只是变得更加隐蔽。
隐秘的角落
阴暗的生意,往往都非常隐蔽。一周前,AI财经社以“摄像”、“摄像头”等为关键词在QQ上检索发现,有大量的“偷窥”相关群潜藏其中,仅以“摄像头”作为关键词检索得出的结果,排除不符合条件的,就有接近150条。
这些群多以“监控”“隐私”等为关键词,头像多是床图,而“隐私”有时也被写成谐音“影视”等放在群名称中。他们甚至在刻意营造“群成员较多”的假象。以AI财经社加入的一个群聊为例,其群成员显示有四百余人,但进群后发现,其中绝大部分账号的名字、头像均相同,疑似为同一账号。
图/视觉中国
但贩卖视频的鸽子告诉AI财经社,“这个只是引流群而已,购买了会拉你进资源群的。”与此同时,另一位卖家张路也表示,“购买完会拉会员群”,而会员群同样是QQ群。
AI财经社尝试加入一个以“360视频实时摄像头”作为群名关键词的qq群,却在加群过程中发现,点击“加入群聊”跳出的界面是一条“需要+总群XXX”验证信息。根据这些引导步骤后,AI财经社试图加入这个群,却发现这是一个中转群,并再次遇到“此裙(裙,等同于“群”)不进人。请移步总裙XXX”的提示。
经过多番折腾,AI财经社成功进到了一个以“接待裙总裙”为关键词的QQ群里,但进群之后发现,只有群管家在其中自动发送消息,“@XXX,欢迎来到接待裙,此群限制,请移步总裙。”,并附带一个付款二维码,只有那些支付了19.9元的人才能进群。
这些人如此费尽心机,目的是“安全引流”。那些过多询问或者迟迟不操作的人,很快就会被他们剔除。
AI财经社曾申请加入一个以“加群秒进”字样作为群头像的QQ群,入群后不到一分钟,管理员就发来私聊,道了句“你好”。但仅一分钟左右没得到回复,该管理员就直接将AI财经社移出了群聊,行事极为谨慎。而在另一个群,管理员在群中发出一个“+”号,但因未能及时理解其中含义,很快便再度被移出群聊。
在整顿的大背景下,QQ官方和黑产从业者都变得风声鹤唳。一个明显的变化是,AI财经社曾试图以“监控”为关键词在QQ上进行搜索,得出的结果是“找不到符合筛选条件的群”。而数天前申请的QQ群界面已经无法进入,显示“系统错误,请稍后再试!”。有的QQ群在不声不响间将原来具有指向性的“精品实时摄像头”改成了诸如”明仁“等指向不明的群名。
陈发也开始把“低调”二字写进了QQ群的介绍里,并且警告那些购买摄像头账号的顾客不要分享给其他人,“如果酒店账号出现别人登录,直接没收。”
被攻破的摄像头
在这些黑产交易活跃的背后,是摄像头隐私泄漏的泛滥成灾。
摄像头被泄漏通常是两类原因:一类是自己安装的摄像头被黑客攻破,另外一类是在酒店、试衣间、卫生间等被恶意安装针孔摄像头偷拍。
河南一法院审结的一起案件中,曾披露过被告人的偷拍手段。他们通过网络购买了一枚针孔摄像头,并利用出差入住酒店的机会,将该摄像头安装至酒店房间电视机后一电源插座内,并通过WIFI与其手机相连,使用手机实时观看该摄像头拍摄内容。长春一位被告人则将带有针孔摄像头的鼠标和插排安装在宾馆房间内,五年时间偷拍了视频7.5万余条。
图/视觉中国
在各级法院的判决案例中,多少能看到恶意偷拍现象的疯狂。郑州一家酒店的负责人甚至在接受采访时直接说,郑州的酒店,不少都装有针孔摄像头。这些摄像头被藏在酒店的插线板、遥控器、烟雾感应器和纸巾盒等处,或者通过改装手机、剃须刀和鞋子等,装入摄像头。
比如,深圳一位女士曾在优衣库的试衣间内发现了针孔摄像头。而据警方调查,该针孔摄像头为某科技公司员工邓某某在网上购买,后者为寻求刺激,将其安装在了一试衣间内实施偷拍,并将部分视频保存在了自己手机里。
今年3月,有关“夫妻住民宿被偷拍8小时”的新闻还一度登上微博热搜,再一次引发人们对隐私安全的担忧。在流传出的视频画面中,一家三口的日常生活被镜头清晰地记录了下来,并在一个社交软件聊天群中直播。而在同一篇报道中,另一名被偷拍者小李则是因为朋友在一个QQ群中偶然看到他的视频,才知道自己出差入住酒店的过程中穿脱衣服、洗澡等画面都被拍得一清二楚。
针孔摄像头偷拍的背后,也是这些设备的获得非常容易。AI财经社在多家电商平台检索发现,输入“微型监控”“摄像头隐身”等关键词,就可以弹出不少相关产品,价格在几十元到一两百元不等。这些摄像头的形状千奇百怪,有的像纽扣,有的像家用电线,有的被制作进了手表里。而主打的正是“小”和“隐蔽”,有些商家甚至在宣传视频里表示“摄像头只有一厘米”。
尽管多数商家在产品详情页均声称目的是“防盗看护”,但显然谁也不能保证,摄像头最终会流向何处,看向何方。
相比于这些被恶意安装的摄像头,家用摄像头本身的安全性也是触目惊心。
目前家庭摄像头的出货量在与日俱增。IDC公布的《中国智能家居设备市场季度跟踪报告》显示,2020年第四季度,中国智能家居设备市场中,家庭安全/监控市场出货量为817万台,同比增长24.9%。而最近几年,国内每年家用摄像头的出货量都达到了千万级别。
而这些设备并不能保证完全安全。2015年到2018年间,世界三大黑客赛事之一的GeekPwn(极棒)参赛者们一直将摄像头作为主要攻破对象。如2015年,长亭科技凭借着发现7款智能摄像头、一款智能路由器及一款POS机项目漏洞,捧走32万元奖金,次年又凭借一口气攻破市面上销售的10款主流品牌路由器和一款小蚁摄像头拔得头筹,捧走最高的42万元奖金。而在2017年,更是有两支参赛团队靠着攻破雄迈和小蚁摄像头获奖。
最轰动的一次是2017年360公司生产的小水滴摄像头被曝出大量家用摄像头遭泄漏,360创始人周鸿祎遭到了网民的口诛笔伐。据AI财经社获悉,这次的隐私泄漏并不是软件被黑客攻击所致,而是360摄像头弄了个直播共享功能,这个功能的开通非常简单。这显然是个非常欠考虑的做法,很多用户的摄像头共享出去之后忘记关闭,成了网上成千上万人围观的对象。
谁来堵住“偷窥之眼”
为何这么多摄像头会被黑产者轻松破译?
“最常见的就是弱口令。”资深安全专家杨卿对AI财经社分析,很多杂牌摄像头都会在说明书上印有用户ID和密码,用户通常使用了默认账号密码。这就导致攻击者可以很容易通过收集市场上常见品牌的用户名和默认密码进行摄像头破解。“这种情况至少占一半以上”,杨卿说。
浙江破获一起摄像头黑产案的民警也证实了这个说法,“破译的基本上都是原始密码”。
图/视觉中国
至于黑产从业者口中声称的“无痕观看”和“无痕破解”,杨卿则认为,具有这种功能的摄像头大概率属于比较早期和老旧的产品,“摄像头本身属于单点式而非平台化的设计。”但现在大多数品牌的摄像头都与手机进行了绑定,访问之后都会留有记录。
除此之外,摄像头行业本身门槛低,一些小厂家购买一套通用性方案后经过二次包装而成,缺乏安全维护能力,也很难有能力及时对出现的安全漏洞进行补丁更新或系统升级。但这类摄像头因为价格便宜,大量散布在三四线以下的城市。
“你会发现网络上的很多设备,不管是摄像头还是智能电视等家居产品,有一多半的其实还是这种没有人能进行长期安全维护的这种厂家生产和销售出来的东西”,杨卿说。
AI财经社联系到深圳一位摄像机代工厂销售人员则表示,其销售的摄像头品牌,可以自己设置密码,并定期更换,但没有其他专门的加密技术用于防破解。
不难发现,重置密码或许是家用摄像头被避免破译的最简单有效的做法之一。而应对酒店等偷拍的针孔摄像头则需要更加谨慎。
“现在市面上的检测手段其实有几个维度”,杨卿介绍,一种是进屋后用肉眼识别,仔细排查电视、机顶盒、插座等高危地方,另一种则是利用一些专业的探测器,通过声光电等物理原理进行排查。在此之外,也可以通过一些探测APP,探测在当前的WiFi环境里,除了自己的手机和笔记本,是否存在一些其他不明设备,而这些不明设备很有可能就是一些无线类的摄像头。
有企业甚至开发了“偷拍检测”的App,根据这些App的介绍,它们采取了红外光检测、反射光检测、Wifi热点检测、磁通量检测等手段。只要这些偷拍设备发出可见光就很容易被发现,但这也不是百分百靠谱的方案。比如一些安装非常隐蔽的,而且反光不明显的摄像头依然不好被发现。
“这些东西只是个辅助,不能太多地将责任转嫁给用户,还是得从网络、从技术,从政策、产业以及酒店管理等层面去做一些事情,要不然活得就太累了。”杨卿说,“集中打击的整治行动是非常必要的,在阶段性地打击黑灰色产业链的同时,摄像头厂商也应更多与具备在安全技术领域有很深积累的企业加强交流合作,针对物联网设备共同向行业输出成熟完善的安全解决方案,持续提升产品的安全基准与漏洞防护能力,遏制摄像头偷窥黑产泛滥的局面。”
(文中陈发、鸽子、张路为化名。薛永玮对本文亦有贡献)
猜你喜欢
三六零Q2安全业务同比高增98.76%,第二增长曲线已成
安全业务实现营收9.08亿元,其中第二季度收入6.54亿元,同比增长98.76%,环比增长157.16%