記者/姜菁玲 張梓桐

　　編輯/宋佳楠

　　這個布置在他人房間里的攝像頭賬號來得如此容易，章周（化名）感到既興奮又害怕。

　　只要花費不到四百元，就能在匿名社區(qū)里買到某個App的登陸賬號。App里包含了大量未解鎖的隱私攝像頭監(jiān)控截圖，成為會員即可瞬間解鎖觀看權(quán)限。

　　這些攝像頭正對準(zhǔn)了不知是誰家的臥室或客廳，畫面里人來人往，有的在換衣服，有的喂寵物、休息……他們本想用攝像頭監(jiān)控自己家的情況，卻不知反成為另一群人“監(jiān)控”的對象，一舉一動皆被攝像頭掌握，任由屏幕背后的陌生“雙眼”肆意窺視。

　　代號為“909”的賣家，在匿名社區(qū)里將自己的簡介寫成“大量私密視頻有售”。短短八個字，字與字之間夾雜著多個emoji、符號、同音字。他的頭像由密密麻麻的私密視頻小圖拼接而成，中心是一排斜插紅色大字，也是他的微信賬號。

　　在買賣過程中，“909”回復(fù)信息的速度并不快，但言語十分干脆。當(dāng)章周企圖知道這些攝像頭的權(quán)限來源時，“909”顯得很警惕，說這些都是“機(jī)密”。他強(qiáng)調(diào)自己只是其中一個代理，賬號隨時可能被封。

　　攝像頭被破解，所拍影像被多人圍觀、甚至作為商品被轉(zhuǎn)賣，實際上已經(jīng)不是什么新鮮事，但真實的隱私風(fēng)險遠(yuǎn)比我們想象的要嚴(yán)重得多：許多手機(jī)的人臉識別算法可以被一張照片輕易破解；智能音箱一旦被入侵控制，家中所有智能產(chǎn)品操控權(quán)限會被直接獲��；智能門鎖一旦被解碼，你家的門隨時可能被陌生人打開……

　　萬物互聯(lián)的時代在拉近人們彼此距離的同時，名目繁多的智能終端也在通過各種方式“吸走”的我們的隱私。這些智能化設(shè)備一旦被入侵，包含網(wǎng)絡(luò)IP、Wi-Fi、錄音、錄影等功能在內(nèi)的隱私系統(tǒng)，就仿佛被置入潘多拉魔盒一般不斷被侵蝕，并將“毒素”擴(kuò)散到難以掌控的灰色地帶。

　　隱秘的灰產(chǎn)

　　有需求的地方便有市場。

　　章周只是屏幕背后眾多的“看客”之一，為了滿足這些“看客”的好奇心和窺探欲，一條以攝像頭為中心的灰色產(chǎn)業(yè)鏈已然形成。這當(dāng)中包括攝像頭出售方及安裝方、賬號破解技術(shù)提供者、賬號銷售人員以及下游的買家等等。

　　上述匿名社區(qū)上，明確標(biāo)明“攝像頭破解”的賬號主告訴界面新聞記者，這些攝像頭一部分來自于私自在酒店等地安裝且已經(jīng)“動過手腳”的攝像頭，一部分來自于使用黑客軟件破解出的攝像頭。該賬號主處于產(chǎn)業(yè)鏈上游，其業(yè)務(wù)主要依托于這兩部分。

　　據(jù)他所言，加裝了“后門”的攝像頭出售價格多在三四百元左右。攝像頭完成安裝后，除具備常規(guī)功能外，通過內(nèi)置的程序，便可以在被拍攝者毫不知情的情況下對攝像頭進(jìn)行操作，包括錄屏、直播、調(diào)整角度等等。另外，他也出售一部分外形隱蔽的攝像頭，多用于偷拍。

　　該人士稱，利用黑客軟件破解出的攝像頭數(shù)量比私下安裝的量大很多，用軟件可以做到批量獲取，成本和風(fēng)險非常之低。

　　他并沒有具體透露批量獲取的量到底可以有多大。但在2021年4月，北京市第三中級人民法院披露的一起案件顯示，一名叫巫某某的被告人，通過在網(wǎng)上購入的“傻瓜式”反編譯軟件，經(jīng)過技術(shù)外包人員的重建，輕松控制了全球18萬個攝像頭，之后大量收藏或錄制私人住宅里人體裸露的視頻，并在網(wǎng)絡(luò)上進(jìn)行販賣。

　　一位長期從事智能攝像頭監(jiān)測的工程專家告訴界面新聞記者，該軟件類似一個IP掃描器，只要輸入全世界任意地區(qū)的IP段，通過某品牌攝像頭的特征進(jìn)行搜索，就能找到IP段內(nèi)所有的該品牌智能攝像頭。如果用戶的攝像頭密碼過于簡單甚至沒有密碼（弱口令），就能直接登陸系統(tǒng)，實施偷窺。

　　“一旦被黑客找到了漏洞，任意一臺手機(jī)都可以偽裝成你的手機(jī)給攝像頭發(fā)送指令，相當(dāng)于攝像頭已經(jīng)脫離主人的控制，變成了黑客偷窺隱私的工具。而整個過程，你都是不知情的�！毙《馨踩�產(chǎn)品技術(shù)部負(fù)責(zé)人徐敏指出。

　　而這些非法所得信息背后可觀的商業(yè)價值，成為黑產(chǎn)不停挖掘、交易和利用隱私數(shù)據(jù)的原始動力。這些隱私數(shù)據(jù)的利用場景相當(dāng)廣泛，音視頻多被用于偷窺和惡意傳播，而身份證明等更加私密的信息則在暗網(wǎng)上被大量出售，經(jīng)大數(shù)據(jù)畫像分析后用于營銷場景以及詐騙等等。

　　隱私數(shù)據(jù)的具體商業(yè)價值很難直接估算，但相比于正常的信息交易，明顯收益頗豐。巫某某案情顯示，從2018年至2019年3月5日案發(fā)被抓獲，其通過網(wǎng)絡(luò)推廣上述攝像頭實時監(jiān)控畫面非法獲利人民幣70余萬元。即使在被抓獲后的2019年3月5日至3月26日這短短的21天內(nèi)，其專門用于收取販賣監(jiān)控實時畫面錢款的第三方支付平臺仍收到17萬元。

　　脆弱的隱私防線

　　灰產(chǎn)的肆意橫行與隱私的安全防護(hù)水平較低有直接關(guān)系。

　　2020年11月，國際計算機(jī)協(xié)會舉行的智能傳感系統(tǒng)大會上，一篇來自美國馬里蘭大學(xué)和新加坡國立大學(xué)的研究論文提到，其研究團(tuán)隊成功遠(yuǎn)程入侵了一臺家用掃地機(jī)器人，使其充當(dāng)竊聽器來“竊聽”屋內(nèi)的私人信息。研究結(jié)論表明，即使沒有安裝傳統(tǒng)的“竊聽器”，不法分子也可以操縱家居設(shè)備來竊取他人信息。

　　來自中國的公司也做過類似的測試。人工智能公司瑞萊智慧，曾利用所發(fā)現(xiàn)的手機(jī)人臉解鎖的重大漏洞，使用AI算法生成一種特殊花紋，再定制成“眼鏡”戴上，就可以讓手機(jī)的面部解鎖系統(tǒng)瞬間失靈——針對20款覆蓋不同價位的低端機(jī)與旗艦機(jī)，15分鐘內(nèi)即可完成破解。最終，除了一臺iPhone11，其余19款安卓機(jī)型全部解鎖成功。

　　瑞萊智慧相關(guān)產(chǎn)品經(jīng)理告訴界面新聞記者，這一漏洞涉及所有搭載人臉識別功能的應(yīng)用和設(shè)備，包括門禁、智能電視甚至自動販賣機(jī)。攻擊測試人員成功解鎖手機(jī)后，不僅可以任意翻閱機(jī)主的微信、短信、照片等個人隱私信息，甚至還可以通過手機(jī)銀行等個人應(yīng)用APP的線上身份認(rèn)證完成開戶、轉(zhuǎn)賬。

　　在奇安信天工實驗室安全專家于淼曾做過的攻防測試中，智能音箱、智能路由器、智能門鎖都曾被完全獲取過最高級別的控制權(quán)限。和攝像頭一樣，一旦被入侵控制權(quán)限，他人就可以在主人毫不知情的情況下操控設(shè)備。

　　于淼告訴界面新聞記者，侵入智能路由器可以Wi-Fi信息為入口，進(jìn)一步入侵電腦等各種聯(lián)網(wǎng)設(shè)備，從而獲取各種身份信息；侵入智能門鎖，則會直接威脅財產(chǎn)安全。而一臺可用語音口令操控全屋智能設(shè)備的智能音箱，一旦被破解，屋內(nèi)其他相關(guān)智能設(shè)備都會被控制，比如電視、掃地機(jī)器人、廚房電器、窗簾等等。

　　通過入侵各種帶有錄音、錄像功能的設(shè)備，黑客可以獲取的信息面極為廣泛。去年12月31日，國外智能家居攝像頭制造商Wyze承認(rèn)，因為員工誤操作刪除了其數(shù)據(jù)庫安全協(xié)議，導(dǎo)致Wyze公司240萬用戶的數(shù)據(jù)被泄露。相關(guān)報告顯示，Wyze泄露的數(shù)據(jù)包括用戶的電子郵件、相機(jī)昵稱、Wi-Fi名稱、體重和性別等健康數(shù)據(jù)，以及用戶在Wyze設(shè)備上的信息。

　　音頻、視頻、身份信息、行為習(xí)慣、生物特征都可以被這些設(shè)備所記錄�！斑@也意味著，對你隱私的收集和暴露可能會是全方位和無限的�！庇陧当硎尽�

　　投入與成本博弈

　　一些公司面對數(shù)據(jù)漏洞所產(chǎn)生的不同態(tài)度，也在某種程度上助長了灰產(chǎn)的進(jìn)一步延伸。

　　一位要求匿名的技術(shù)專家告訴界面新聞記者，在一次國際安全大賽上，他們曾經(jīng)發(fā)現(xiàn)兩家公司的商用產(chǎn)品存在漏洞，分別是路由器和智能音箱。如若利用這些漏洞，可以直接獲取產(chǎn)品的最高權(quán)限，實現(xiàn)遠(yuǎn)程控制產(chǎn)品。

　　該路由器廠商即使在收到免費的漏洞包以后，仍然表示不在意；智能音箱廠商則用技術(shù)手段“開后門”阻止了漏洞爆出，并要求私下溝通，后自行修復(fù)。

　　“一個是覺得面向B端（企業(yè)端）用戶，更重銷售渠道，（漏洞）影響不大；另一個，則是覺得公開漏洞有損品牌形象。”該專家表示，在處理外部提交的漏洞方面，國內(nèi)廠商尤其是物聯(lián)網(wǎng)廠商缺少正確的反饋機(jī)制，本質(zhì)上是對安全的重視程度和規(guī)范不夠。

　　物聯(lián)網(wǎng)設(shè)備在近些年才正式普及開來，行業(yè)處于早期爆發(fā)階段，安全問題也隨之增長。

　　根據(jù)NVD（National Vulnerability Database）數(shù)據(jù)統(tǒng)計顯示，近年CVE（Common Vulnerabilities & Exposures）物聯(lián)網(wǎng)相關(guān)漏洞數(shù)量顯著增長，尤其自2017年以來，CVE允許個人申報之后，漏洞增長呈指數(shù)級爆發(fā)趨勢。

圖源：齊安信物聯(lián)網(wǎng)漏洞報告

　　要想更好地保護(hù)用戶隱私，要求設(shè)備具有更高的安全防護(hù)水平，但對于一些廠商來說，技術(shù)實力有限的前提下，安全防范更像是一種博弈。

　　于淼提到，很多廠商為了充分保障安全，需要在產(chǎn)品性能和成本之間保持動態(tài)平衡，三者相互影響。理論上說，如果企業(yè)提高產(chǎn)品的安全性，那么產(chǎn)品功耗可能隨之增大，產(chǎn)品性能則相應(yīng)降低；而追求極致性能，產(chǎn)品又會面臨較大的安全風(fēng)險，成本也相應(yīng)提升。

　　因此，在物聯(lián)網(wǎng)設(shè)備行業(yè)發(fā)展早期，不同的產(chǎn)品追求拉大了不同水平廠商在安全性上的差距，也為行業(yè)的混亂埋下了種子。

　　“目前很多中小廠商的產(chǎn)品在安全性上十分薄弱，甚至到了不堪一擊的水平，一個有經(jīng)驗的黑客也許可以在十幾分鐘內(nèi)找到問題所在，完成對攝像頭的破解�！毙烀舴Q。對于中小廠商來說，市場需求快速迭代，技術(shù)實力也有限，因此它們對功能性需求的優(yōu)先級更高，隱私保護(hù)則被排在后面。

　　反觀一些大廠，出于品牌聲譽(yù)度的考慮，對產(chǎn)品安全方面會更加重視，主要體現(xiàn)在產(chǎn)品出廠前會有相對完善的安全檢查標(biāo)準(zhǔn)，在出廠后遇到漏洞問題能夠及時修復(fù)�！叭绻�產(chǎn)品本身有問題，出現(xiàn)漏洞也不修，遭殃的就是用戶�！庇陧嫡f。

　　作為一家以安全業(yè)務(wù)為主的公司，瑞萊對人臉識別進(jìn)行漏洞捕捉的技術(shù)并未對外開放，主要用于幫助B端廠商發(fā)現(xiàn)并優(yōu)化漏洞。但瑞萊智慧一名產(chǎn)品經(jīng)理發(fā)現(xiàn)，一部分廠商會針對問題做出調(diào)整，一部分則不會。“關(guān)于內(nèi)生安全思想并沒有被行業(yè)所有人都接受，很多時候大家還是在考慮是不是有特別大的不可承受的損失，或者有相應(yīng)的法律法規(guī)來要求我做這件事�！�

　　等待監(jiān)管加碼

　　隨著國家層面對個人的隱私的不斷重視，不論是微觀的的規(guī)制還是宏觀的監(jiān)管都越來越明確。

　　此前中央四部門曾聯(lián)合發(fā)布過一則公告，決定自2021年5月至8月，在全國范圍組織開展攝像頭偷窺黑產(chǎn)集中治理�！敖�年��，不法分子利用黑客技術(shù)破解并控制家用及公共場所攝像頭，將智能手機(jī)、運動手環(huán)等改裝成偷拍設(shè)備，出售破解軟件，傳授偷拍技術(shù)，供客戶‘偷窺’隱私畫面并借此牟利，已形成黑產(chǎn)鏈條，嚴(yán)重侵害公民個人隱私�！惫�告中提到��

　　集中治理期間，公安機(jī)關(guān)共抓獲犯罪嫌疑人59名，收繳竊聽竊照器材1500余套。

　　法律層面上，我國也在不斷加強(qiáng)對網(wǎng)絡(luò)安全和個人信息的保護(hù)工作。2012年《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》發(fā)布；2016年《中華人民共和國網(wǎng)絡(luò)安全法》頒布；2019年出臺《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，同一年《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》生效；2020年，《關(guān)于深入推進(jìn)移動物聯(lián)網(wǎng)全面發(fā)展的通知（2020）》印發(fā)等。

　　物聯(lián)網(wǎng)普及的五六年來，作為網(wǎng)絡(luò)攻防工程師，于淼感受到，雖然整體行業(yè)的安全程度還不夠，但是縱向上安全情況和重視程度也在逐步提高。

　　在日常對設(shè)備進(jìn)行攻擊測試的過程中，他發(fā)現(xiàn)，三四年前能夠很輕松從80%的設(shè)備中提取出相應(yīng)的固件、尋找到漏洞，如今大概只能順利提取出50%左右。固件安全防護(hù)的明顯提高，意味著廠商對于用戶隱私的保護(hù)水平也提高了。

　　“新的法規(guī)制度不斷出臺和落地，監(jiān)管一定是越來越趨于規(guī)范的。在此背景下，企業(yè)必須更好的規(guī)范自身的業(yè)務(wù)才能好好活下去。”瑞萊智慧CEO田天說。