“真的,为什么要把镜头对准自己的床!”“太变态了!可怕!”“我对这种小聪明很无奈,也很害怕。”浙江警方破获一起传播破解家用摄像头案件后,网友纷纷表示担忧。虽然案件曝光,罪犯落网,但他们的“同行”并没有歇业。
打开QQ群搜索,使用“破解、ip、相机”等关键词。记者还是看到了“优秀拍照软件ip”、“IP摄像头破解专长”、“Ip摄像头能看懂”、“摄像头/摄像机”等几十个提示性的QQ群。你看看这些QQ群的备注,更有暗示性,通常会有“找群主好处”“进群找管理的事”“知道就进”。
记者看到,这些QQ群里有几十个成员,400多个成员。9月14日,成都商报客户端记者申请加入“IP摄像头破解专业技术”和“摄像头/头”两个QQ群,成员400余人,且不断有新成员加入。两个QQ群都设置为“禁止所有成员通话”,只有群主可以发消息。在“照片/照片头”QQ群里,名为“快捷酒店”的群主会时不时发来:“需要软件就加我,不免费。只有真心想要,才不要浪费对方的时间,”
记者的暗访
“偷窥需谨慎,动手动脚”
在“IP摄像头破解专业技术”的QQ群中,记者先和名为“小暴力”的群主交了朋友。他告诉记者:“(软件)66元,付款后。”通过微信支付费用后,小暴力给记者发来一个名为刺客的安装程序。这时,杀毒软件开始发出病毒预警,小暴力告诉记者,杀毒软件需要关闭后才能安装。
“刺客”程序安装成功后,“小暴力”向记者提供了一组来自香港的IP片段。这个IP段被输入“刺客”程序进行搜索。不到5分钟,就找到了50多个家用摄像头,包括IP地址、端口、摄像头型号、账号、密码等。随着搜索持续了大约半个小时,“刺客”找到了近300个家用摄像头,其中57个标着“OK”,其余的标着“NO”。
记者看到,只要点击这些标有“OK”的摄像头,就能获得实时监控画面,覆盖卧室、客厅、厨房等。摄像机的拍摄角度也可以通过“刺客”来调整。在“小暴力”的指引下,记者通过IP信息网站找到了四川20多组IP段,将这些IP段输入“刺客”程序进行搜索。记者发现近50户的摄像头被破解。然而,在破解的画面中,被拍摄者并不知情。
记者还和“照片/照片头”QQ群的主人快捷酒店做了朋友。他提供的“夜神”程序需要99元,记者试图与之讨价还价。他回答“现在不涨价就好”“当然我推荐更好”。记者交费后,快捷酒店给记者发来了夜神程序,里面有详细的教程,还有几个名为福利IP、卧室、新测试IP的文件,里面有大量IP地址和破解的账号密码,并注明有女子洗澡,对着床,偷窥需谨慎。将这些IP地址、账号、密码输入“夜神”程序,即可进入相应的摄像头监控画面。
教会记者使用“刺客”和“夜神”两个节目后,两个群主停止了与记者的沟通,不再回应。记者注意到,9月15日下午,“照片/人像”QQ群被解散。
网络安全专家:
罪犯是如何成功的?
利用“弱密码”和摄像头系统漏洞
记者将《刺客》和《夜神》两个节目分别发给360公司和四川效率源安全技术有限公司的信息安全部,相关信息安全专家为记者做了解读。
“这两个程序主要是针对一些摄像头常见弱密码的安全缺陷。他们使用普通密码扫描网络,试图登录并获得控制权。”30公司安全专家王阳东拿着“夜神”的配置信息向记者介绍,从中可以看到一些弱密码摄像头的IP地址、账号和密码。
效率源安全技术有限公司信息安全专家黄旭告诉记者,“刺客”是针对摄像头系统漏洞的专业黑客程序。它会扫描指定的IP段和指定的端口,以查找该IP段中存在系统漏洞的摄像机。如果找到具有相应漏洞特征的摄像头,程序会通过系统漏洞绕过账号密码,获取系统中存储的账号文件,获取账号和密码,这样就可以打开并查看程序中的视频。由于部分厂商的摄像头管理系统存在漏洞,在开发程序时留下安全隐患,导致黑客盗取其账号密码。再复杂的密码,只要系统有漏洞,“刺客”都能拿到,然后用“夜神”等查看工具打开查看视频。据黄旭介绍,通常会有一些不知名的小相机品牌和一些名牌“山寨”相机作坊,它们使用一些开源的相机系统程序,却没有及时修复这些系统漏洞。
“夜神”这个程序是查看工具,不具备破解账号密码的功能。在这个软件中,可以输入厂商、型号、IP、账号、密码等。登录,然后您就可以查看视频。至于账号和密码的获取,除了利用系统漏洞破解程序,比如“刺客”访问,还可以通过弱密码等方式获取。所谓弱密码,是指容易被破解工具猜中或破解的账号密码,如没有被用户修改过的默认账号密码,如""、" user ",以及简单设置的账号密码,如""、" "等,都是弱密码"。
“山寨相机厂商从产品设计、开发到管理,安全意识和安全技术水平参差不齐,设备、应用、服务器、客户端都可能存在各种安全漏洞和风险。”据王东介绍,设备默认密码、数据明文传输、视频存储不规范、用户权限验证不合理、APP加固不安全、代码逻辑和硬件存储有缺陷。
在调试接口、可横向控制等安全缺陷等,都是山寨摄像头出现的比较典型的问题,“暴露了产品上面的安全意识淡漠”。防范要领:
勿买山寨摄像头设置复杂密码
王阳东和黄旭均向记者介绍,普通消费者选购智能摄像头产品时,最基础且稳妥的方法,是在正规渠道选购大厂商的产品,切勿贪图便宜,购买“三无”或者山寨产品。同时,在使用产品之前,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险。在使用时,应及时修改初始密码,密码需具备一定复杂度并养成定期修改的习惯。
王阳东认为,从目前来看,受到价格、渠道等多重因素的影响,大量山寨机、贴牌机,以及小厂家的摄像机产品正加速流入市场,这类产品往往不具备严格的安防机制,用户隐私风险极高,用户在选购时需严加甄选。“最为保险的办法还是选择安全可靠的正规产品,知名大厂推出的网络摄像头在产品质量,安全防护水平及产品维护售后方面都有保障,可避免不必要的麻烦。”
警方已受理
将进一步核实证据
9月14日下午,记者来到成都市锦江区书院街道派出所进行报案,相关民警受理了此案,接下来将进一步和记者核实相关证据并调查。
本文链接:http://www.slxf119.com/17023.html 转载需授权!
网友评论