现在,很多人家里都装有智能摄像头。只要下载一个相关联的应用程序,就可以随时用手机查看家里的情况。比如老人独自在家是否安全,保姆带娃是否尽责,有没有进小偷等。

但你知道吗?在使用智能摄像头的时候,可能还有成百上千双陌生的眼睛,在偷窥你的家。

大量家庭摄像头遭入侵 扫描软件轻松获取IP地址

记者在QQ搜索栏,输入“摄像头破解”,跳出了众多相关聊天群。记者随机加入了几个,发现聊天的内容绝大多数有关家庭摄像隐私。时不时会放出一些号称他人家庭摄像头拍下的画面。

很快,不少人主动添加记者为好友,询问是否需要扫描软件,并声称这些扫描软件,能够攻破摄像头的IP地址。只要将被破解的IP地址输入播放软件,就可以实现偷窥,不被觉察。

记者决定尝试一下。向其中一个卖家支付188元后,收到了两款软件和详细的使用教程。记者在播放软件中,输入卖家提供的ip地址,登录名和密码,竟然成功进入了一个摄像头。这是一户人家,画面显示的是客厅,一只小狗正在窝里睡觉。

破解IP地址公开叫卖 涉“年轻女性”、“夫妻生活”摄像头

卖家还向提供了大量IP账号。为了辨别画面中的影像是否实时影像,记者再次登录一个账号,进入了另一个摄像头。这家人的摄像头安装在卧室,正对卧床,是具有夜视功能的摄像头。居然真的可以实现远程操作。

而在一些qq群内,IP地址会被群主作为聚拢人气的礼物,免费向群员发放。在这个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址,每份都被下载了几百次。

群中被标价出售的,是涉及年轻女性、夫妻生活的摄像头,它们被隐晦地称为“精品台”,每个被卖到几十元乃至上百元。

大量家庭摄像头遭入侵 有人收几十个徒弟卖IP地址

我们要给智能摄像头的主人们提个醒:除了你,可能此刻还有成百上千双陌生的眼睛,也在看着你家。

在网上搜索栏输入“摄像头破解”,就跳出了众多相关聊天群,记者随机加入了几个,发现聊天的内容绝大多数有关家庭摄像隐私,时不时会放出一些号称他人家庭摄像头拍下的画面。很快,不少人主动添加记者为好友,询问是否需要扫描软件,并声称这些扫描软件能够攻破摄像头的IP地址。

只要将被破解的IP地址输入播放软件,就可以实现偷窥,不被觉察。似乎只有电影中的特工或黑客才能做到的事情,竟然可以这么简单地实现吗?记者决定尝试一下。向其中一个卖家支付188元后,记者收到了两款软件和详细的使用教程。

记者在播放软件中,输入卖家提供的ip地址、登录名和密码,竟然成功进入了一个摄像头。这是一户人家,画面显示的是客厅,一只小狗正在窝里睡觉。卖家称,这家住着一对小夫妻,安摄像头的目的,应该就是观看这条宠物狗。

卖家还向记者提供了大量IP账号。为了辨别画面中的影像是否是实时影像,记者再次登录一个账号,进入了另一个摄像头,放大,缩小,居然真的可以实现远程操作。

而在一些qq群内,ip地址会被群主作为聚拢人气的礼物,免费向群员发放。在这个近2000人的QQ群中,每天都会新增一份最新破解文件,包含200到400个IP地址,每份都被下载了几百次。

卖家大胆吻下去:群发的你有没有看到卧室的号?比较好的?没有吧。群发的,一大群人去转摄像头,就被改了密码,那些没有什么生命力的。但是,那种爱好者,他肯定想要安稳地看,没有人去改密码,去转动摄像头。

这位叫“大胆吻下去”的卖家告诉记者,今天靠卖号已经赚了500多元。他有几十个徒弟,如果拜他为师,一个月收入上万并不难

家庭摄像头在线直播

监控设备是如何“沦陷”的?

兜售的家庭摄像头IP和账号密码是哪来的呢?

其实很简单,家庭摄像头需要连接到厂商的服务器的网页进行远程监控(不可避免地留下录像)或者摄像头开放个端口服务进行点对点连接监控,在网页上输入用户名和密码即可控制自己的摄像头。

兜售家庭摄像头信息的人开发出多线程检测工具,根据IP段进行端口检测,发现IP开放了相关端口并存在登录页面后,再尝试通过弱口令进行登录爆破(不存在错误次数限制的登录校验很容易被盯上)。

常见弱口令如下↓↓↓

这些弱口令一般是,user、admin、123456等。爆破成功的账号将会拿出来卖,并筛选出其中对着卧室的床的摄像头,以较高的价格兜售出去。

监控设备被攻击的后果?

被监控被直播,被黑产拿来赚钱

央视报道里最可怕的,不是摄像头有安全漏洞,而是这个安全漏洞已经被黑产团伙利用来赚钱了。只要付钱,就可以通过摄像头对别人进行偷窥。根据QQ安全团队的调查,坏人已经形成了非常成熟的作恶和盈利模式。

1.批量获取可用摄像头帐号

工厂批量生产的门,出厂时设置成可以用同一把钥匙打开(例如“user”和“admin”),你装上这扇门后,也没有更换锁和钥匙。坏人只需要拿着钥匙一扇扇门去试,很多人家就会门户大开,这就是所谓的弱密码漏洞。

坏人首先通过对摄像头常用的IP段进行扫描,从中获取可连接的IP地址,然后使用常见用户名和密码对可连接IP地址进行暴力破解,就获得了大批的可用帐号,可以对用户的摄像头进行监控。

使用常见用户名和密码扫描破解

2.对摄像头资源进行筛选管理

对摄像头资源进行筛选管理

大部分摄像头对准的是商场、停车场、超市等公共场所,但也会有一些比较私密的地方:卧室、浴室、客厅……坏人会通过管理软件对这些摄像头进行分类,筛选出窥私癖最喜欢的类型好加价出售。

3. 打包出售获取利益

获得摄像头资源后,坏人会通过各种途径出售来获利:

    ►付费群,打着“福利”的名号,收费入群后分享破解的IP地址和帐号,这样的群一般收费在10元以下

摄像头破解收费群

    ►付费应用,下载安装应用后可以对破解后的摄像头资源进行在线浏览,收费100元左右,值得一提的是,很多这样的应用是假的,纯粹骗钱

摄像头收费软件

    ►付费资源,经过筛选后的“不可描述”资源也会被单独出售,单条价格不等

如何防范

修改家里智能摄像头的用户名和密码,不要使用设备的初始密码
不要使用弱密码(密码长度不低于8位,建议数字、字母、大小写、特殊字符混合)

摄像头不要正对卧室、浴室等隐私区域,并经常检查摄像头的角度是否发生变化

不要在公共WiFi环境下输入智能设备的账号和密码,防止信息被劫持

及时关注厂商的公告和更近,及时更新智能摄像头操作系统版本和相关的移动应用APP

尽量购买和使用主流品牌、正规厂商的摄像头产品

不仅仅是这些智能摄像头需要做好安全防范,我们电脑也需要做好相关安全防范哦,比如在不需要使用摄像头时用不透明胶布贴住摄像头;在不需要使用电脑时尽量关闭我们的电脑。

例如下图:用创可贴贴住摄像头

易霖博信息安全攻防实验室:本站部分内容来自互联网,版权归原作者所有,如不慎侵害到您的相关权益,请留言告知,我们将尽快处理,谢谢!(Part of the information in our website is from the internet.If by any chance it violates your rights,we will delete it upon notification as soon as possible.Thank you for cooperation.)