無獨有偶,美國另一家智能攝像頭巨頭亞馬遜也幾乎同一時間暴雷。
密西西比州,黑客入侵了一個家庭的亞馬遜Ring攝像頭。對方自稱是聖誕老人,差點嚇壞了家裏的小女孩。沒幾天後,亞馬遜Ring被爆出超4000個賬戶泄露,可讓黑客遠程監控、竊取信息。
全球智能家居攝像頭市場年年攀升,預計2023將以14%增速達130億美元的規模。而家用攝像頭也擺脫了“電腦外設”、“笨重安防設備”的標簽,成爲看娃、吸貓、照顧老人的日常智能家居設備。
但頻繁發生的攝像頭暴雷事件卻成爲許多用戶心中的“倒刺”。黑客入侵、隱私直播等事件爲什麽會頻頻發生?問題的解法又是什麽?令人費解。
一、2019年智能家用攝像頭暴雷頻發
自2019年初起,谷歌Nest攝像頭就開始接連爆出類似“坑”。
伊利諾伊州的一對夫婦稱黑客通過攝像頭跟嬰兒講話,並把Nest恒溫器調到了90華氏度(約爲32攝氏度);ABC報道一個Nest用戶遭到來自攝像頭的口頭虐待和勒索贖金……
亞馬遜這邊,12月28日,有美國公民甚至把亞馬遜Ring告上法庭,列舉了八大實例,直指亞馬遜的Ring相機容易受到黑客攻擊。而後,Ring被查出有內部員工濫用職權訪問用戶視頻數據。
谷歌和亞馬遜是北美兩大家用攝像頭巨頭。Nest公司曾因爲恒溫器的走紅而被谷歌收歸麾下,Ring于2018年被亞馬遜以839美元收購,它們與路由器出身的Arlo公司一起占據了北美近80%的家用攝像頭市場份額。
▲使用原始密碼的攝像頭機器容易被破解
一些企業和專家表示,受到黑客侵擾的,往往是在不同的平台和網站上使用相同名稱和密碼的人。當某站點被入侵後,黑客能使用被盜的名稱和密碼來嘗試闖入其它平台帳戶。
比如之前的“黑客入侵扮聖誕老人嚇壞小女孩”、“黑客把室溫調到90華氏度”的事件都被認爲是這一原因。
Ring的一位發言人曾說:“不良行爲者從其他公司的數據泄露中收集賬號密碼數據,供其它不良行爲者訪問其它服務,這種情況並不少見。”
然而,這並不能解釋所有問題。僅僅將問題歸因于用戶不改密碼、密碼太簡單,則容易陷入企業和相關部門推卸責任的公關話術。
視頻流的傳輸是一條長長的鏈條,從攝像頭端到雲服務器,從獨立系統到集成系統,從視頻雲平台到手機、Pad等設備端,每一個節點和傳輸通道都可能成爲薄弱環節。
本次谷歌Nest Hub-小米攝像頭的畫面誤接入就是一個實例。根據小米官方公告可知,當時恰逢網絡惡劣,而米家系統正在緩存更新,因此該系統與谷歌Home Hub的集成環節就發生了故障。
同樣是上個月底,美國攝像頭廠商Wyze泄漏暴露了240萬用戶的客戶數據,據稱是其員工在使用該數據庫時錯刪了安全協議。
▲一些攝像頭的初始密碼非常簡單
但僅僅要求用戶自衛遠遠不夠。
廠家和運營商把握著視頻流傳輸中的衆多薄弱環節。升級雲服務器能力,優化傳輸網絡,定期修複系統Bug、更新升級平台,從而在技術層面做到“堅如磐石”。
一位來自大華股份的專業人士稱,因爲我國在安防領域有著深厚實踐,在視頻加密方面的技術居于世界領先地位,視頻加密級別越來越強,因此往往在剛剛接觸到攻擊,服務器就能快速反應,在用戶完全“無感”的情況下就將入侵隔絕在外了。
除此之外,爲攝像頭增加物理遮擋,成爲各大攝像頭廠商應對安全隱私泄露的最直接舉措。用戶可以在App上開關攝像頭,只選擇在需要的時候打開攝像頭。
放棄雲服務,做視頻本地存儲和本地AI化也成爲一種路徑,但這種攝像頭的價錢本身可能會昂貴許多,且對于廠商來說難以通過叠代的軟件升級獲得生態效應。
從更深層次來說,在用戶和企業的自律之外,法律的監管和約束對攝像頭行業尤其重要。
一方面,企業使用用戶視頻數據的界限在哪裏?隨著家用攝像頭的AI化、以及攝像頭與其它智能家居設備的打通,用戶視頻數據在AI模型訓練、用戶畫像繪制等方面的價值將更加明顯,如何將數據運營方關在“籠子”裏,需要靠相關部門和法律法規的規範。
比如,2018年5月,歐洲就曾推出《通用數據保護條例》,規定用戶數據收集方必須清楚地披露收集的任何數據,聲明數據處理的合法基礎和目的。2019年1月21日,谷歌就被曝因違反GDPR被法國國家數據保護委員會處以5000萬歐元的罰款。
另一方面,不法人士的“偷窺成果”流向了哪裏?所有圍繞家用攝像頭誕生的“黑産”,都會有“叫賣聲”和“交易”的蛛絲馬迹浮出水面,執法部門的管理打擊力度也大大影響了智能攝像頭行業的命運走向。
2019年6月,我國溫州民警發現一男子在QQ群中售賣攝像頭破解工具、被控制的家用攝像頭賬號密碼,甚至以10-20元價格售賣裸露、色情的偷拍視頻。
而就在近日,這起“非法控制十萬家用攝像頭”的案件水落石出,全國20多省份的32名犯罪嫌疑人被抓獲。