简阳论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
本周热榜
查看: 10850|回复: 5

288元可买20个偷拍机位 摄像头路由器正在监视你

[复制链接]

3

主题

666

帖子

2471

积分

一级军士长

UID
156506
帖子
666
主题
3
积分
2471
阅读权限
110
注册时间
2018-5-11
最后登录
2022-10-16
在线时间
255 小时
发表于 2019-7-16 16:15 | 显示全部楼层 |阅读模式 IP:北京市 电信

监视.jpeg


2019-07-16 08:25:48 来源: 新京报

“不敢再相信酒店了。”张良(化名)对新京报记者说。

6月11日,张良和女友在下榻的石家庄某酒店中,发现电视机品牌标志位置一个小孔内有反光点。随后,在警方、酒店三方见证之下电视机被拆,一个摄像头赫然出现。摄像头机身还插着一个16G的内存卡。警方调取内存卡,内有多条私密视频。

张良的遭遇并非个例。新京报记者调查发现,从录制到变现的偷拍视频买卖黑色产业链条逐渐浮出水面。一位从事该黑产的人士表示,只需288元,便可以得到8个酒店房间监控,12个家庭房间监控;某街拍网站更是有网友声称,可以20元一条的价格收购偷拍的女性裙底视频。

更可怕的是,一些物联网设备的漏洞,带来隐私泄露的风险。记者测试发现,20台某品牌摄像头中11台可以直接利用guest用户观看“视频直播”。有专业人士表示,路由器漏洞同样可能导致摄像头被控制。记者调查发现,另一品牌路由器更是“后门敞开”,密文密码被直接显示。

如何减少隐私泄露事件的发生?安全人士提醒,便携设备检测可以在一定程度上保障隐私安全,但也并非万无一失。

酒店发现偷拍摄像头,16G内存卡含大量私密视频

在警方的陪同下,张良看了自己发现的酒店摄像头内存卡里的内容,他紧握着的拳头和近乎拧在一起的眉头一刻也未曾松开。

今年6月,张良和女朋友一起到石家庄办事,下榻在飞猪上预订的石家庄市城市驿站快捷酒店广安街官鲤公寓店。

在和女朋友入住酒店一晚后,6月11日上午10点左右,电视机上的一个小孔引起了张良的注意。

“发现小孔之后,我用手机往里面照,发现里面有反光点。”这个反光点引起了张良的警觉。他拨通了海尔的客服电话,得到的回应是该款型号电视机商标位置并没有任何小孔。

随后张良报警。张良表示,他、酒店负责人和当时赶至的警察一起见证了电视机被打开的时刻,一个扁平状的长方形物体赫然映入眼帘。

据描述,这个扁平的偷窥摄像头长约七八厘米,宽约四五厘米,被黑色胶带紧紧缠绕。在该设备尾部,还存在一个长长的针状装置。

张良怀疑,那个针状的装置实际上是一个无线发射装置。“我从网上搜过偷拍摄像头,有和这个类似的,后面那个就是一个无线发射器,可以同步观看直播。”

据张良描述,该设备曾经被人改装过电路,和电视机共用一个插头。从整体看来,除了一个小孔暗藏摄像机外,与正常无异。在偷窥设备的机身上,张良还发现一个内存卡卡槽,里面插着一张16G的内存卡。

“里面含有大量私密视频,受害者不止我一个。”张良说。

记者从石家庄市公安局长安分局获悉,该局领导已经注意到此事,因案情正在调查之中不便回应。

如今,张良已同女朋友一起返回北京。不过,这场风波却在他心里笼罩上一层阴影。“不敢再相信酒店了。”张良对新京报记者说,“我不可能每次住酒店都要去仔细检查酒店里是否存在摄像头。”

近期,已有多起服务行业的针孔摄像头偷拍事件被曝光。

6月15日,钟女士在深圳一家优衣库试衣时,发现试衣间藏有针孔摄像头,引发社会关注。新京报记者之后从深圳龙华警方获悉,涉嫌偷拍的嫌疑人已被警方抓获。优衣库方面回应称,该名嫌疑人非店内员工。

另新京报此前报道,在河南郑州,游客黄先生和女朋友入住当地的玉泰酒店,在房间的电视机下方意外发现,插座里竟然有一个针孔摄像头。6月23日,郑州警方针对玉泰酒店出现针孔摄像头一事进行案件通报,系一保险公司员工在网上购买偷拍设备,分次在该酒店房间安装设备后进行偷拍,经检查未发现偷拍视频外泄,目前已被刑拘。

288元买20个偷拍机位,包括酒店和家庭房间

事实上,张良发现的偷窥摄像头只是偷拍产业链的冰山一角。

“因摄像头导致隐私泄露的情况并不少见。”一位熟悉黑产的人士告诉新京报记者,“所得私密视频主要通过买卖来变现。”

记者调查发现,目前黑市上流通的偷拍视频总体分两种,一种为人为安置的偷窥摄像头拍摄所得,另一种则为利用摄像头漏洞所得。

在网上,记者与一位昵称为“AAaaa专业破解”的QQ用户取得联系。该网友提供的一份价格表显示,“8个酒店房间监控,送12个家庭房间台,都是对床,活动体验价288元,仅限一天。”价格表底部还标注称,“支持任何设备,手机和电脑都可以操作。”

路由器漏洞同样可能导致摄像头被控制

值得注意的是,为隐私泄露埋下隐患的,不止是摄像头漏洞。“路由器漏洞同样有可能导致摄像头被控制。”一位安全圈专业人士告诉新京报记者。

知道创宇404实验室副总监隋刚向新京报记者介绍,“如果摄像头的传输协议是明文的,是可以抓到用户名和口令,同时拿到路由器的权限意味着打通了内网,通过其他工具加上用户名和密码,就可以控制了。”

“市场上相当一部分摄像头的传输协议是明文的。”隋刚称。

腾讯安全云鼎实验室发布的《2018年IoT安全威胁分析报告》显示,路由器、摄像头和智能电视是被攻击频率最高的三款IoT设备,占比分别达到45.47%、20.71%和7.61%。占据IoT设备攻击量将近一半的路由器,由于市场保有量巨大,一旦被爆出漏洞,极易引发大范围的攻击。

上述安全圈专业人士介绍,通过攻击路由器,不法分子不仅可以控制摄像头,还可以监控用户的网络行为。

早在2015年,便有网友在“吾爱破解”网站的“悬赏问答区”中提及飞鱼星路由器漏洞。帖子称“飞鱼星上网行为管理路由器可获取加密后的用户密码”,并提供了飞鱼星路由器的密文密码,悬赏50吾爱币寻求密码。

记者发现,时隔4年,部分飞鱼星路由器的密文密码仍然直接被显示,通过开源软件的密码字典便可以得到登录密码。

6月26日,安全人士佳伟(化名)通过Zoomeye搜索关键词“volans”(飞鱼星)共搜索到111393条结果,其中包含设备111056台,网站205个。

通过资料卡中的IP地址信息,安全人士佳伟随机进入一台路由器的登录页面,发现该路由器的密文密码被保存在网站的某个根目录下面,对访问并没有进行限制。也就是说,该路由器存在敏感文件泄露漏洞,可导致管理密文密码泄露。

由于存在敏感文件泄露漏洞,佳伟轻松获得一串密文密码。

“将该字符串导入目前常用的开源密码恢复工具后,借助密码字典,便可以得到这台路由器的密码。”白帽子于小葵(化名)告诉新京报记者。

佳伟对钟馗之眼显示的前五页路由器进行了测试,前五页共包含100台路由器,其中90台为在线状态,十台为离线状态。测试发现,共有15条测试成功,获取密码的整个过程共花费了约十几秒。

“显示的字符串实际上是密文密码,理论上来讲,只要能得到密文密码这些路由器是可以破解的,只是密码字典的大小和时间问题。”白帽子于小葵说。

Zoomeye显示,在飞鱼星的客户中,中国以107593的数量成为榜首。从全球视角分布图来看,北京、上海、香港、成都、东莞、沈阳六个城市分布十分密集。

于小葵向新京报记者表示,该路由器攻击门槛极低,但是隐患极大,管理密文密码直接显示无异于为黑客直接敞开了后门。“几乎不需要技术,初级黑客都可以登录路由器的后台。路由器下面的电脑全部通过路由器与互联网相连,存在极大的风险。”

安全谷(北京)科技有限公司经理菅弘向新京报记者表示,路由器一旦被攻击,用户行为很容易被监控。“可以通过对WiFi攻击,入侵路由器之后,看到路由器下面所有的设备,也可以通过技术手段监控摄像头。”

除了偷窥你的摄像头,“他们(黑客们)可以通过抓包或者DNS劫持的方式监控用户的上网痕迹,或者篡改路由器上的DNS服务器IP,把DNS变成黑客的恶意DNS服务器。这样,当局域网内的用户访问网站时,用户的计算机就会解析别的IP进行挖矿、钓鱼攻击等行为。”于小葵说。

制造飞鱼星路由器的厂家为成都飞鱼星科技股份有限公司(简称飞鱼星)。该公司于2014年在新三板挂牌。

2018年9月,国家市场监督管理总局官网通报了路由器产品质量国家监督抽查结果。抽查发现,有3批次产品不符合标准的规定,涉及发热要求、电源端子传导骚扰电压项目,其中包括成都飞鱼星科技股份有限公司的无线路由器。

7月5日下午,新京报记者将该漏洞测试过程向飞鱼星进行了提交,飞鱼星工作人员联系技术部门后表示,“当前确实存在此问题。”

那么,为何四年一直未对该漏洞进行修复呢?飞鱼星客服表示已将记者问题反馈到市场部。至截稿前,未获回应。


5

主题

1641

帖子

4639

积分

少尉

UID
148601
帖子
1641
主题
5
积分
4639
阅读权限
130
注册时间
2016-3-22
最后登录
2020-9-20
在线时间
310 小时
发表于 2019-7-16 16:26 | 显示全部楼层 IP:四川省成都市 电信
看来要早点把我的路由器初始密码改了

14

主题

689

帖子

2933

积分

热血青年

UID
2432
帖子
689
主题
14
积分
2933
阅读权限
10
注册时间
2006-10-11
最后登录
2022-12-27
在线时间
320 小时
发表于 2019-7-16 17:26 | 显示全部楼层 IP:四川省成都市 电信
还敢住酒店吗?

4

主题

1304

帖子

2910

积分

预备军官

UID
156122
帖子
1304
主题
4
积分
2910
阅读权限
120
注册时间
2018-4-2
最后登录
2019-11-2
在线时间
6 小时
发表于 2019-7-16 22:51 | 显示全部楼层 IP:四川省成都市 电信
人性。

31

主题

9771

帖子

2万

积分

上校

UID
138767
帖子
9771
主题
31
积分
24604
阅读权限
180
注册时间
2014-7-27
最后登录
2023-9-19
在线时间
798 小时
发表于 2019-7-17 08:53 | 显示全部楼层 IP:四川省成都市 联通
看看
123

6

主题

329

帖子

742

积分

四级军士长

UID
152083
帖子
329
主题
6
积分
742
阅读权限
80
注册时间
2017-4-3
最后登录
2019-11-3
在线时间
1 小时
发表于 2019-7-19 21:43 | 显示全部楼层 IP:四川省 移动数据上网公共出口
没有需求就没有产业链,值得反思
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

不良和违法信息举报邮箱:80411235@qq.com|营业执照|网站法律顾问|Archiver|手机版|小黑屋|简阳论坛 ( 蜀ICP备2021016404号-1 )

关注简阳论坛
官方公众号

GMT+8, 2024-3-29 05:10 , Processed in 0.076368 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表