在这个必须宅在家里办公、学习、玩耍的特殊时期,很多“它就在那里但你并没在意”的技术、设备重新唤起了我们的注意,某些陈年话题也被勾陈了出来。
近日,一项安全研究发现并报告了Mac版会议软件ZOOM存在严重安全缺陷,它可以劫持网络摄像头,也会让用户容易受到钓鱼和DOS攻击。如果用户在浏览器中点击一个特殊链接,这个漏洞可能会迫使用户在未经允许的情况下打开网络摄像头参加会议。
从多年前针对个人隐私泄露治理到现在,“新基建”热潮已起,小小的摄像头依然是工业、城市设施的安全薄弱环节。
小小摄像头带来大隐患
越来越多的人把摄像头搬进家中,防盗、关照老人或宠物;城市、乡镇、学校、楼下的小超市,密密麻麻的摄像头早就为我们织就了一张外面世界的保护网。
但你的安全感有可能被击得粉碎,不间断曝出的案例告诉大众这样一个事实,摄像头是那么容易被攻击或挟持,担心个人隐私被侵犯的“摄像头焦虑症”就这样找上你。
海量需求催动下,摄像头市场变得越发鱼龙混杂,太多的小厂技术、产品不过关,降低了黑客的攻击成本和难度。
这组数据或许可以说明问题有多严重。
记者在百度上搜索“网络摄像头攻击”,找到相关结果约4730万个;2018年底,网络安全公司Netscout报告显示,连接到互联网的计算机、手机和网络摄像头每五分钟就会遭受一次网络攻击;截至2019年9月,研究人员在全球范围发现了1.5万个私人网络摄像头存在安全漏洞。
记者从腾讯网络安全与犯罪研究基地了解到,黑产已针对不设防的摄像头形成产业链,上游开发破解工具、中游使用破解工具扫描摄像头ID打包贩卖、下游直用这些摄像头偷窥隐私、敲诈勒索。所以,不需要什么专业技能,摄像头后窥视的眼睛随时都有、可能成为你家庭安全的最大隐患。
虽然可以把电脑、PAD、手机的摄像头都拿贴纸封上,可以把智能联网设备的电源拔掉,但这不是解决问题的正确路径。一次又一次网络设备安全问题的曝光,需要引起业界的足够重视。
从2019年底开始,我国各地警方破获并公布了多起非法控制家用摄像头案件,有力打击了整条黑色产业链,但若想把智能摄像头这个隐私泄露黑洞彻底堵上也非易事,需要行业监管、企业、消费者共同发力。
但是,网络安全专家一再提醒消费者,在安全问题上没人敢做出百分之百的保证。用户的大意是造成隐私泄露的最主要原因,只有加强自我保护,才能躲过居心叵测。
物联网安全防护能力待提升
一次次来自黑产或黑客的侵犯就像背景噪音,成为网络世界的一大特征,随着万物互联时代的到来,每个人、每件物品都无法与网络分割,安全问题从私人空间蔓延至整个物理世界。
志翔科技联合创始人、产品副总裁伍海桑介绍,2016年“美国断网”事件、“德国断网”事件开启了物联网设备被大规模利用攻击网络的先例,随后,小到摄像头、心脏起搏器,大到国家电网、核电站,都成为黑客攻击的目标。
2016年,黑客操纵超过百万台物联网设备漏洞攻击其他网络设备,一度导致整个美国东海岸互联网瘫痪,科技公司Dyn直接损失超过1.1亿美元。从婴儿监视器到家用安保摄像头,许多家用智能设备都被黑客调动起来参与了这起物联网僵尸网络攻击行动。
目前,大多数超过300Gbps规模的攻击都有大量的网络摄像头、家用无线路由器参与,直接显示出这些设备的安全防护薄弱。
据国家信息安全漏洞共享平台(CNVD)数据,80%的物联网设备存在隐私泄露或滥用的风险,80%的设备使用弱密码、70%的设备的网络通讯没有加密、60%设备的网页界面存在漏洞、60%设备的软件更新未做加密。
“整个物联网链条的安全防护能力都有待提升,物联网产品的整个生命周期都需要保护。”奇安信集团董事长齐向东强调,要让安全能力泛化在物联网的每个环节,但相比设备和技术上的低能,缺乏安全意识才最致命,“人的要素”最重要。
“中国因网络攻击造成经济损失的金额数量全球第一,但中国在网络安全投入占总IT投入比重却远远低于全球平均水平,网络安全发展与信息化严重不匹配。”奇安信集团副总裁吴云坤说,“中国网络安全市场‘二十年零散发展’中,安全滞后于信息化建设,抓个漏洞,打个补丁的工作模式,很难支撑‘新基建’对安全的要求,必须用系统工程的方法结合内生安全理念形成所谓建设框架。”