2019 年,一阵刺耳的警报声突然穿过摄像机,吓坏了美国佛罗里达州的一家人。
“这是你的孩子吗?”一个陌生的声音从 Ring 摄像头中说道:“你好吗?你好吗?欢迎来到 NulledCast。”
NulledCast 是一个在 Discord 上直播的播客。在这个节目中,黑客向人们展示了如何轻而易举地破解别人家里的 Ring 和 Nest 品牌的智能家居摄像头,并使用它们自带的扬声器与毫无戒心的主人聊天并骚扰他们。
这样的事情并不少见,不少网友表示有过相同的经历:
“原本在家里安摄像头是怕猫咪独自在家有事,结果被入侵了。那人直接控制摄像头拉了一圈,看家里环境,还停顿放大,看回放的时候我真的吓死了......”
“我装摄像头在卧室里,那天看的时候发现【在线人数 2】,一瞬间头皮发麻”
“我有发言权!之前在装监控的后台上过班,卖出去的每一个监控我都能看见画面!”
据统计,截至 2022 年 10 月,约有一半拥有互联网的美国家庭安装了家庭安全系统、监控摄像头、可视智能门铃等设备。但与此同时,这些摄像头又给人带来了新的“烦恼”:邻居的日常出行不可避免地入镜,被可视智能门铃识别为陌生人发出警告;别有用心的人以个人安全为理由偷拍他人影像;云端保存的视频可能被兜售……
美国联邦贸易委员会(Federal Trade Commission)曾发现 Ring(亚马逊旗下一家专注家庭安全和智能家居设备的公司)的员工多年来可以不受限制地访问用户视频,从而对该公司做出了 580 万美元的罚款。该机构表示,不仅如此,Ring 的员工还能够轻松下载任何客户的视频,然后随意查看、分享或在其他网络上传这些视频。
除了监控设备公司的员工可以自行查看视频外,造成摄像头画面泄漏最主要的原因,很可能是摄像头端口指纹特征被泄漏,外加设置了过于简单的密码。联邦贸易委员会在论述 Ring 存在的隐私问题的同一份报告中还指出,Ring 不限制个人(或程序)输入错误登录密码的次数,很容易就可以使用暴力破解密码。
Motherboard 在 2019 年的一项调查显示,Ring 系统甚至允许账户在不同国家/地区同时登录,并且不会标记登录同一账户的用户数量,记录登录信息。而该公司在面对用户名和密码被盗的多起事件,也未积极做出响应,并修复漏洞。直到一年后,Ring 才强制实施了双因素身份验证,采用端对端加密,不经过云端。
即使没有黑客恶意访问,这些家用监控设备也存在其他的安全问题。比如,2019 年,Wirecutter 报道称,即使在恢复出厂设置后再出售该设备,Google Nest 家庭安全摄像头仍然允许其前主人访问该摄像头。电子前沿基金会研究监视和治安问题的高级政策分析师马修·瓜里格利亚(Matthew Guariglia)说:“我们只有在受到伤害时才会发现新的隐私和安全问题,在此之前,我们并不知道有哪些漏洞被别有用心之人利用了。”
那么,在不得不安装家用监控摄像头后,我们该如何保护自己的隐私呢?
首先,不买廉价摄像头或者二手摄像头。科技产品都具备一定研发成本,很多廉价/二手摄像头虽然看上去物美价廉,性价比很高,几十块钱就能入手,但背后存在的泄漏风险却是翻倍上升。
其次,谨慎开通云服务。目前家用摄像头机身存储很少,带卡存储亦空间有限(一般都是 32 G或者是 64 G),为了存储更多录像视频,摄像头厂商纷纷引入了“云服务”这一概念,但云端隐私极易泄露。如果你已经开通了这个功能,可以选择定期清理云端存储的视频,并关注云服务的上传节点,避免云端泄漏时被不法分子“一览无余”。
最后,设置复杂密码。据报道,近几次 Ring 入侵都是因为密码设置得过于简单。如果你在使用不同的服务和网站上都使用了相同的登录名或者密码,那么信息有可能已经被泄露,并且很容易被恶意的人获取。
为了呼吁大家提高对身边具备监控功能设备的重视,德国萨尔大学人机交互实验室的几位研究者还设计了一款能转眼珠、眨眼睛、还会盯着你看,就像是恐怖片中会出现的人眼摄像头——Eyecam。
它覆盖着柔软的仿真皮肤,能像真人那样转动眼球,还能眨眼或者抬眉毛。Eyecam 可以观察并识别视野内的人类,甚至还能用眉毛表示它的情绪,比如开心或失望。
这是一个开源项目,作者马克·泰西尔(Marc Teyssier)还在 GitHub 上公布了制造“人眼摄像头”所需的 CAD 文件与控制软件。
也就是说,如果你怕忘记隐私泄漏的危险性,可以尝试做一个摆在家里,时刻提醒你......