Swann智能安全攝像頭又現(xiàn)漏洞，這次是“直播門”

從快手到抖音，直播漸漸成為全民參與的“成癮性社交活動”，“網(wǎng)紅”一詞也從形容詞遙身變成了一種職業(yè)名詞。前段時間“做網(wǎng)紅還是讀大學”的話題也將直播一詞推向了風尖浪口，足以展現(xiàn)直播行業(yè)的火熱。

但并不是所有的“直播”都受人喜愛。

不同于娛樂化的直播行業(yè)，科技引領下的“直播”主角往往處于被動方。在智能攝像頭的“觀察”下，無論情愿與否，一言不合你都將被直播。

Swann智能安全攝像頭又現(xiàn)漏洞，這次是“直播門”

在大規(guī)模網(wǎng)絡攻擊事件出現(xiàn)之后，智能設備的偽安全性又重新出現(xiàn)在你我眼前。這次，惹禍的是Swann！

據(jù)外媒ZDNet報道，來自Pen Test Partners的Andrew Tierney、Chris Wade和Ken Munro，以及Alan Woodward，Scott Helme和Vangelis Stykas的研究人員發(fā)現(xiàn)了Swann智能安全攝像頭的全新漏洞，這些攝像頭允許無權限訪問，允許任何人可以無權限輕松訪問任何Swann用戶的智能安全攝像頭。

研究人員表示，他們發(fā)現(xiàn)一臺由Swann研發(fā)的攝像頭沒有對觀看該視頻流的人群進行授權檢查。研究人員Tierney在研究報告中指出，將某個Swann攝像頭的視頻流傳輸?shù)搅硪粋€攝像頭是一件非常簡單的事情?！拔覀兺ㄟ^云服務成功地將視頻源從一個攝像頭切換到另一個攝像頭，證明了對任何人攝像機的任意訪問。”一定拿黑客發(fā)現(xiàn)了這個漏洞，他們可能會把客戶數(shù)據(jù)和敏感視頻發(fā)布至整個互聯(lián)網(wǎng)。

換句話說，不管情愿與否、知道與否，Swann智能安全攝像頭一不小心就讓你“紅”。

"無門檻直播門”意味著什么？

盡管Swann在該漏洞爆出的一周內(nèi)修復了該漏洞，但人們對Swann的質疑尚未停止——

“為什么的生活會暴露會暴露在陽光之下呢”

往常的“直播門”大多是黑客通過破譯攝像頭相關程序，亦或是不法商家在某個隱私角落配備攝像頭而誕生的隱私問題，所有攝像頭的廠家在黑客操控攝像頭之前仍設定了觀看權限，我們暫且可以把其稱為“偷窺門”。但與 “偷窺門”不同，Swann的無權限“直播門”可以看成某種帶有侵略性質的“全民直播”，我們也可稱之為“無門檻直播門”。

Swann"無門檻直播門”的可怕之處在于，黑客根本不需要任何技術手段就能操控攝像頭，而任何人群都有權觀看任何Swann攝像頭用戶的“生活直播”。這意味著與網(wǎng)絡“直播”觀眾類似，無需任何權限，所有人都能觀看聯(lián)網(wǎng)Swann智能安全攝像頭用戶的實時信息。也就是說，“經(jīng)過Swann官方同意”，Swann攝像頭用戶沒有隱私可言！

更糟糕的是，在研究人員尚未發(fā)現(xiàn)漏洞之前，Swann并未發(fā)現(xiàn)其攝像頭存在無門檻”操作。

這不得不讓人懷疑，前段時間Swann爆出的另一安全漏洞，也是Swann"無門檻直播門”干的好事。

今年6月，一位名為Louisa Lewis的女子表示其通過自家Swann家庭攝像頭查看了陌生家庭的生活畫面。當時Swann表示攝像頭事故的原因在于兩臺不同的Swann攝像頭設置了相同的安全密鑰，屬于人為錯誤。但報道稱事實似乎并非如此，BBC發(fā)現(xiàn)這兩個用戶的登錄密碼并沒有匹配。 而在此之前，也曾有人反映其在自家Swann家庭攝像頭查看了陌生人的生活畫面

如此看來，SwannSwann"無門檻直播門”早就存在端倪，只是并未別“有心人士”發(fā)現(xiàn)和利用而已。

黑客獨愛物聯(lián)網(wǎng)，我們何時才能說Skr呢？

在各種被“招黑”下，物聯(lián)網(wǎng)已不再意味著幫助，而是阻礙。

長期以來，被稱為物聯(lián)網(wǎng)的互聯(lián)網(wǎng)連接設備就是黑客青睞的對象。尤其當制造商忽視基本的網(wǎng)絡安全措施，黑客就會在聯(lián)網(wǎng)設備中植入僵尸網(wǎng)絡，發(fā)動嚴重的網(wǎng)絡攻擊、竊取數(shù)據(jù)或監(jiān)視偷窺等。而由于視頻逐漸大多數(shù)移動數(shù)據(jù)流量，智能攝像頭也逐漸成為了物聯(lián)網(wǎng)連接設備的香餑餑。

但這種香餑餑的大好前景，卻總是被制造商安全能力不足和行業(yè)監(jiān)管缺失遏止。

去年雙12當天，一篇題為《一位92年女生致周鴻祎：別再盯著我們看了》的文章打開了智能攝像頭的“直播大門”。在此之后，智能攝像頭下催生的黑色交易——視頻販賣被曝出；與此同時，無論國內(nèi)外，由于存在傳輸未加密、未存在人機識別機制以及客戶端沒有安全加固等缺點，大量攝像頭安全漏洞曝光，不法分子將通過漏洞對攝像頭進行操控，可能導致用戶監(jiān)控視頻泄露，或智能攝像頭被惡意控制等危害。

此外，去年6月，國家質檢總局產(chǎn)品質量監(jiān)督司組織開展了智能攝像頭質量安全風險監(jiān)測：共從市場上采集樣品40批次，依據(jù)國標，對操作系統(tǒng)的更新、惡意代碼防護、身份鑒別、弱口令校驗、訪問控制、信息泄露、數(shù)據(jù)傳輸使用安全有效加密、本地存儲數(shù)據(jù)保護等項目進行了檢測。結果表明：32批次樣品存在質量安全隱患。

而隨著攝像頭安全事故的頻發(fā)，大熱的“AI+安防”也受到了不少影響。

在“AI+安防”建設中，人臉識別系統(tǒng)是當前最為廣泛的利用。盡管效果優(yōu)異，但人們并未統(tǒng)一人臉識別系統(tǒng)的主戰(zhàn)線，質疑聲往往大于贊同聲。

的確，人臉識別技術+攝像頭是當前人臉識別系統(tǒng)的主要驅動力，但由于攝像頭“偷窺門”、“直播門”屢現(xiàn)，人們對視頻傳輸?shù)娜^程越發(fā)看重。公共安全很重要，但個人隱私更為重要！

Swann無門檻“直播門”折射出整個智能攝像頭行業(yè)的弊端，比起智能來說，人們更注重安全，也更寧愿使用那些呆板的“智障”產(chǎn)品。

畢竟，一談隱私，誰也淡定不了。

從當前頻現(xiàn)的“直播門”來看，我們何時才能對聯(lián)網(wǎng)設備說Skr？

五年，十年，二十年，亦或是更長……