“陌生的老人躺在扶手椅上�����、嬰兒躺在床上睡覺�����、陽光明媚的客廳��?��!?/span>
近日�,一個(gè)荷蘭小伙用自家的小米攝像頭聯(lián)接谷歌Nest Hub時(shí)��,卻看到了別人家的視頻畫面。事后����,谷歌立刻在谷歌助手上禁用小米攝像頭集成。
無獨(dú)有偶�,美國另一家智能攝像頭巨頭亞馬遜也幾乎同一時(shí)間暴雷。
密西西比州�,黑客入侵了一個(gè)家庭的亞馬遜Ring攝像頭。對(duì)方自稱是圣誕老人��,差點(diǎn)嚇壞了家里的小女孩����。沒幾天后,亞馬遜Ring被爆出超4000個(gè)賬戶泄露��,可讓黑客遠(yuǎn)程監(jiān)控����、竊取信息��。
而在我國�,元旦剛過,浙江警方破獲了一起“非法控制十萬攝像頭”的案件��,跨越20省抓獲32名嫌疑人���。這些人在QQ群中售賣攝像頭破解工具���、被控?cái)z像頭賬號(hào)密碼,甚至以10-20元價(jià)格售賣裸露���、色情的偷拍視頻���。
全球智能家居攝像頭市場(chǎng)年年攀升�����,預(yù)計(jì)2023將以14%增速達(dá)130億美元的規(guī)模���。而家用攝像頭也擺脫了“電腦外設(shè)”����、“笨重安防設(shè)備”的標(biāo)簽�����,成為看娃�����、吸貓、照顧老人的日常智能家居設(shè)備����。
但頻繁發(fā)生的攝像頭暴雷事件卻成為許多用戶心中的“倒刺”。黑客入侵����、隱私直播等事件為什么會(huì)頻頻發(fā)生?問題的解法又是什么?令人費(fèi)解。
一�����、2019年智能家用攝像頭暴雷頻發(fā)
自2019年初起�,谷歌Nest攝像頭就開始接連爆出類似“坑”����。
伊利諾伊州的一對(duì)夫婦稱黑客通過攝像頭跟嬰兒講話,并把Nest恒溫器調(diào)到了90華氏度(約為32攝氏度);ABC報(bào)道一個(gè)Nest用戶遭到來自攝像頭的口頭虐待和勒索贖金……
亞馬遜這邊���,12月28日�����,有美國公民甚至把亞馬遜Ring告上法庭�,列舉了八大實(shí)例,直指亞馬遜的Ring相機(jī)容易受到黑客攻擊���。而后����,Ring被查出有內(nèi)部員工濫用職權(quán)訪問用戶視頻數(shù)據(jù)�����。
谷歌和亞馬遜是北美兩大家用攝像頭巨頭����。Nest公司曾因?yàn)楹銣仄鞯淖呒t而被谷歌收歸麾下,Ring于2018年被亞馬遜以839美元收購����,它們與路由器出身的Arlo公司一起占據(jù)了北美近80%的家用攝像頭市場(chǎng)份額。
2019年,亞馬遜和谷歌的智能音箱頻頻暴雷�,也為其攝像頭安全問題增添了不安的底色。
2019年4月����,亞馬遜被曝在未告知用戶的情況下雇人監(jiān)聽Alexa錄音,對(duì)內(nèi)容進(jìn)行轉(zhuǎn)錄�����、標(biāo)注���,然后反饋給軟件;兩個(gè)月后,谷歌助手超1000個(gè)錄音信息遭到泄露�,其中包括大量在音箱沒被喚醒時(shí)的錄音,涉及臥室對(duì)話�、父母和孩子之間的對(duì)話和大量私人信息電話……
相比于智能音箱隱私泄露的危害,家用攝像頭可謂有過之而無不及。
一些黑客僅僅為了惡作劇��、炫耀自己的“職業(yè)素養(yǎng)”而入侵?jǐn)z像頭���,一些則更加邪惡��。據(jù)了解�,有黑客在名為NulledCast的播客中直播了入侵他人家中的內(nèi)容���,甚至滋生出“15元直播對(duì)床視頻”類似的黑產(chǎn)�,一些不法人員還通過攝像頭進(jìn)行敲詐勒索�。
家用攝像頭本是看護(hù)孩子老人的助手,卻成了“魔鬼”潛入家里的“眼睛”�。
二、何以至此?
“用戶密碼”成為廣為人知的薄弱環(huán)節(jié)�����。
一方面���,一些用戶在安裝攝像頭后直接使用原始密碼;另一方面�����,一些用戶在不同的平臺(tái)和賬戶都采用相同的密碼����,這些情況都為黑客入侵創(chuàng)造了機(jī)會(huì)。
▲使用原始密碼的攝像頭機(jī)器容易被破解
一些企業(yè)和專家表示���,受到黑客侵?jǐn)_的�,往往是在不同的平臺(tái)和網(wǎng)站上使用相同名稱和密碼的人��。當(dāng)某站點(diǎn)被入侵后���,黑客能使用被盜的名稱和密碼來嘗試闖入其它平臺(tái)帳戶���。
比如之前的“黑客入侵扮圣誕老人嚇壞小女孩”����、“黑客把室溫調(diào)到90華氏度”的事件都被認(rèn)為是這一原因����。
Ring的一位發(fā)言人曾說:“不良行為者從其他公司的數(shù)據(jù)泄露中收集賬號(hào)密碼數(shù)據(jù)���,供其它不良行為者訪問其它服務(wù)�����,這種情況并不少見�?�!?/p>
然而�����,這并不能解釋所有問題��。僅僅將問題歸因于用戶不改密碼���、密碼太簡(jiǎn)單���,則容易陷入企業(yè)和相關(guān)部門推卸責(zé)任的公關(guān)話術(shù)���。
視頻流的傳輸是一條長(zhǎng)長(zhǎng)的鏈條,從攝像頭端到云服務(wù)器�����,從獨(dú)立系統(tǒng)到集成系統(tǒng)�,從視頻云平臺(tái)到手機(jī)、Pad等設(shè)備端�,每一個(gè)節(jié)點(diǎn)和傳輸通道都可能成為薄弱環(huán)節(jié)。
本次谷歌Nest Hub-小米攝像頭的畫面誤接入就是一個(gè)實(shí)例��。根據(jù)小米官方公告可知�����,當(dāng)時(shí)恰逢網(wǎng)絡(luò)惡劣���,而米家系統(tǒng)正在緩存更新�,因此該系統(tǒng)與谷歌Home Hub的集成環(huán)節(jié)就發(fā)生了故障���。
同樣是上個(gè)月底���,美國攝像頭廠商Wyze泄漏暴露了240萬用戶的客戶數(shù)據(jù)����,據(jù)稱是其員工在使用該數(shù)據(jù)庫時(shí)錯(cuò)刪了安全協(xié)議�����。
2019年3月���,美國攝像頭巨頭Arlo也被爆出系統(tǒng)存在兩大Bug���,包括網(wǎng)絡(luò)配置錯(cuò)誤和UART保護(hù)機(jī)制不足。
在一條用戶看不到的視頻流傳輸鏈條中�,傳輸網(wǎng)絡(luò)、子系統(tǒng)���、集成系統(tǒng)�����、服務(wù)器等各個(gè)環(huán)節(jié)都可能成為薄弱環(huán)節(jié)����,為黑客制造可入侵的機(jī)會(huì)。
然而�,黑客的入侵固然令人擔(dān)憂,運(yùn)營(yíng)商的“偷窺”則令人更難以接受�。2020年新年剛過,亞馬遜公布的一則消息令人咋舌:亞馬遜解雇四名員工�����,因?yàn)樵谶^去四年中�����,Ring的四名員工濫用職權(quán)訪問用戶視頻數(shù)據(jù)�����。
如果說黑客入侵還可以防范的話�����,那么運(yùn)營(yíng)商的“窺探”則是防不甚防。
當(dāng)用戶安裝了亞馬遜或谷歌的攝像頭之后�,就等于將自己的隱私交到了亞馬遜和谷歌手里。在毫不設(shè)防的情況下�����,用戶的視頻數(shù)據(jù)可能被拿來訓(xùn)練AI模型��、構(gòu)建用戶畫像�����、投入精準(zhǔn)廣告�����。而一旦數(shù)據(jù)濫用的口子打開�����,引發(fā)的違法犯罪勾當(dāng)則再難避免��。
三�、如何防范,僅僅改密碼就完事了?
近年來�,攝像頭越來越成為居民的日常智能家居設(shè)備。吸貓����、看娃、抓賊�、看護(hù)老人、作智能貓眼……眾多應(yīng)用場(chǎng)景��,一個(gè)攝像頭和一臺(tái)手機(jī)搞定����。
Strategy Analytics報(bào)告指出,全球智能家居攝像頭市場(chǎng)年年攀升����,2019年將達(dá)80億美元市場(chǎng)規(guī)模,2023將以14%增速達(dá)130億美元市場(chǎng)規(guī)模����。
全球的家庭、租戶及商鋪對(duì)攝像頭的需求都在增長(zhǎng)�,但安全隱私問題卻成為一根倒刺,讓用戶面臨“因噎廢食”的窘境��。尤其對(duì)于我國方興未艾的家用攝像頭行業(yè),這根“刺”顯得格外梗喉���。
用戶管理好自己的密碼����,被認(rèn)為是一條行至有效的路徑�����。在買回?cái)z像頭后���,用戶應(yīng)該修改原始密碼,并盡量不要將一個(gè)密碼在多個(gè)平臺(tái)共用���,“密碼+驗(yàn)證碼”����、“密碼+指紋”的雙重驗(yàn)證也被認(rèn)為是強(qiáng)力保障�����。除此之外�,不貪小便宜購買三無攝像頭也能夠避免一些風(fēng)險(xiǎn)。
▲一些攝像頭的初始密碼非常簡(jiǎn)單
但僅僅要求用戶自衛(wèi)遠(yuǎn)遠(yuǎn)不夠�。
廠家和運(yùn)營(yíng)商把握著視頻流傳輸中的眾多薄弱環(huán)節(jié)。升級(jí)云服務(wù)器能力���,優(yōu)化傳輸網(wǎng)絡(luò)���,定期修復(fù)系統(tǒng)Bug、更新升級(jí)平臺(tái)���,從而在技術(shù)層面做到“堅(jiān)如磐石”���。
一位來自大華股份的專業(yè)人士稱,因?yàn)槲覈诎卜李I(lǐng)域有著深厚實(shí)踐���,在視頻加密方面的技術(shù)居于世界領(lǐng)先地位�,視頻加密級(jí)別越來越強(qiáng)�,因此往往在剛剛接觸到攻擊�,服務(wù)器就能快速反應(yīng)���,在用戶完全“無感”的情況下就將入侵隔絕在外了����。
除此之外�����,為攝像頭增加物理遮擋���,成為各大攝像頭廠商應(yīng)對(duì)安全隱私泄露的最直接舉措�。用戶可以在App上開關(guān)攝像頭����,只選擇在需要的時(shí)候打開攝像頭�����。
放棄云服務(wù)��,做視頻本地存儲(chǔ)和本地AI化也成為一種路徑��,但這種攝像頭的價(jià)錢本身可能會(huì)昂貴許多,且對(duì)于廠商來說難以通過迭代的軟件升級(jí)獲得生態(tài)效應(yīng)��。
從更深層次來說��,在用戶和企業(yè)的自律之外����,法律的監(jiān)管和約束對(duì)攝像頭行業(yè)尤其重要。
一方面�����,企業(yè)使用用戶視頻數(shù)據(jù)的界限在哪里?隨著家用攝像頭的AI化�、以及攝像頭與其它智能家居設(shè)備的打通,用戶視頻數(shù)據(jù)在AI模型訓(xùn)練�、用戶畫像繪制等方面的價(jià)值將更加明顯,如何將數(shù)據(jù)運(yùn)營(yíng)方關(guān)在“籠子”里����,需要靠相關(guān)部門和法律法規(guī)的規(guī)范。
比如�,2018年5月,歐洲就曾推出《通用數(shù)據(jù)保護(hù)條例》��,規(guī)定用戶數(shù)據(jù)收集方必須清楚地披露收集的任何數(shù)據(jù)��,聲明數(shù)據(jù)處理的合法基礎(chǔ)和目的。2019年1月21日���,谷歌就被曝因違反GDPR被法國國家數(shù)據(jù)保護(hù)委員會(huì)處以5000萬歐元的罰款����。
另一方面��,不法人士的“偷窺成果”流向了哪里?所有圍繞家用攝像頭誕生的“黑產(chǎn)”�,都會(huì)有“叫賣聲”和“交易”的蛛絲馬跡浮出水面,執(zhí)法部門的管理打擊力度也大大影響了智能攝像頭行業(yè)的命運(yùn)走向���。
2019年6月��,我國溫州民警發(fā)現(xiàn)一男子在QQ群中售賣攝像頭破解工具��、被控制的家用攝像頭賬號(hào)密碼��,甚至以10-20元價(jià)格售賣裸露、色情的偷拍視頻����。
而就在近日,這起“非法控制十萬家用攝像頭”的案件水落石出��,全國20多省份的32名犯罪嫌疑人被抓獲。
結(jié)語:莫讓“隱私泄露”成家用攝像頭的倒刺
在歐美�,雖然亞馬遜、谷歌一再強(qiáng)調(diào)自己的視頻傳輸保密技術(shù)沒有問題�,且不會(huì)濫用用戶的視頻數(shù)據(jù),各大關(guān)于數(shù)據(jù)隱私的法律也相繼出臺(tái)����。但是攝像頭頻頻暴雷卻成為2019年各大廠的真實(shí)寫照,值得我國的家用攝像頭行業(yè)警醒���。
我國的家用攝像頭市場(chǎng)剛剛打開��,還沒有形成像亞馬遜�����、谷歌這樣的巨頭�����,目前也還沒出現(xiàn)如此大面積暴雷的跡象��。但隨著AI潮流促進(jìn)家用攝像頭迎來新一輪爆發(fā)�����,可以預(yù)見�,智能攝像頭行業(yè)會(huì)迎來洗牌,類似的安全隱私問題也必然會(huì)被大眾越來越關(guān)注����。(一場(chǎng)AI引發(fā)的攝像頭之戰(zhàn)!消費(fèi)巨頭與安防老炮短兵相接)
家居場(chǎng)景涉及人們最隱秘的部分�,而對(duì)承載人們生活畫面的智能家用攝像頭來說,隱私安全具有極端特殊的重要性���。沒有人會(huì)冒著“裸照被直播”的風(fēng)險(xiǎn)嘗鮮AI技術(shù)�,企業(yè)一旦在隱私安全上栽跟頭�����,就可能真正永遠(yuǎn)失去用戶��。
