读之前,译者有话说
一口气看完这篇技术文档,感觉是什么?《职业特工队》和《谍影重重》的混合体。原文没有插图,所以请耐着性子看完。
作者科迪·布罗修斯何许人也?美国人也。一名Mozilla开发工程师,著名手笔有Linux上购买iTune上的音乐(学生时期)、破解iPhone(就是越狱)、破解脑-机接口并开源(就是用人脑控制计算机),还有就是破解酒店门锁。
我能理解作为一名破解黑客,而不是骇客本身的心情。本来想花心思,卯足全力挑战那个久负盛名的难题(就是酒店安全门锁),却赫然发现远低于自己预想难度(当然比我等的水平高了很多),轻易就被破解了,而且漏洞百出。就如同连续复习了一个月,考试难度堪比作业的感觉。
而这篇技术文档所在的网站,即科迪自己的网站,首页简洁到不能再简洁了,却没有这篇文档的直接链接。但这篇文档依然留在他网站的服务器里。这意味着什么?慢慢猜吧,我不猜了,信息量太大了。
好了,不说废话了,郑重呈上技术翻译作。
介绍
在本文中,我们来探讨酒店使用的onity HT门锁系统的设计和内部原理。全球现役大约有一千万套onity HT酒店门锁,占有全球约三分之一酒店数目或超过一半酒店门锁比例。
我们希望能以独特视角来揭秘onity HT系统的工作原理,以及潜在不同的隐患。
Onity门锁系统设计原理
Onity门锁系统中分为几个部分:
·编码器:用来制作门禁卡,也储存了所有种类信息。(例如客房列表、时间表等等)它可接入便携式编程器。
·便携式编程器(以下称为PP):向门锁写入客户钥匙编码、主管编码、时间表和其他信息。
·门锁:在这里我们说的门锁,主要指的是实际判断门的开关逻辑操作过程的电路板。有好几种门锁配置,例如外门和客房门等,但我们主要探讨客房门锁。
虽然编译器在整个系统中,因其处理门禁卡上的密码编码而显得很重要,但我们首要关注的是PP和门锁。
重要概念
源代码
它由Onity随机生成的32位编码, 代表客房在酒店内唯一的身份标识,同时也是通往整个系统安全的关键。源代码用于对门卡编码/解码、对门锁编程及开锁。
此等缘故,源代码不对任何人公开,甚至酒店拥有者。
钥匙编码值
钥匙编码值包括24位数据,用来获取开锁权限。而门锁除了包含客人钥匙编码外,还生成一个或多个主管钥匙编码。
与其为每个客人重新对门锁编程,或是需要制作多几份主管门禁卡,行业上采用了“卡循环”这个概念。赋值门锁一个提前量,通常是50,意思是让一张门卡在多少张新卡投入使用前仍能有效开锁。加入一位客人手上的钥匙编码是123,而门锁的钥匙编码是100,那么提前量最少也要是23才能使得那张门卡有效。当一张有效卡塞入门锁时,门锁的钥匙编码则变为该卡的钥匙编码。因此,门锁就能在新卡启用时自动对老卡销户。(译者注:方便与安全是成反比的。)
特别强调的是提前量对钥匙编码数量可能降低了不少。一个24位编码值就有约一千六百七十万个不同可能(译者注:即2的24次方。),但却要除以提前量加一这个数,让在提前量范围内的每一张卡生效。因此,假设你手头上有一张标准型提前量为50的门卡,它的密钥可能数则少至328965个。当提前量放到最大,即255时,密钥可能数则降为可怜的65536个。这意味着在最背的时候,你在一道锁上需要尝试32768张门卡才能打开它。这么一来,另一个问题出现了。
倘若两道门的钥匙编码很相近,近到加上提前量后产生了交集,那会否产生一张原本用于开一道门的门卡也能在同一酒店内开另一道门呢?为这些门编制初始编码时,它们每个是前后相差1000而减少那发生的可能。不过,酒店内所有门并不是同时进行编码的,而总有些客房比起其他房间更加客如轮转,直接导致钥匙编码很可能发生越界重复现象。
识别码
每一张卡包含一个16位识别码。在一张客人卡上这分为两部分:卡指定能开的房门,及卡的某个拷贝版本。在主管门卡上,指定能开房门的部分被员工编号代替了。
当入住酒店时,你一般会选择是否要多一张门卡,那就是拷贝。将识别码除以6取余数,就能得知卡是第几份拷贝。0则是原卡,1至4是特别标号拷贝,5则可能是任何门卡的第五份拷贝或以上。门与门之间根据数据库被分隔开来,允许“门卡拷贝范围”现象出现。
需要特别强调的是,门锁并不晓得它自己的标识码是什么。标识码纯粹是用来标识门卡,例如用编码器读取的时候,然后储存在门锁的审核日志中。
审核日志
另一个叫法是开机日志,包含哪些卡用于开锁的记录(用识别码来确定),使用在PP的开锁功能,及新客人门卡。每道记录是由一个16位标识(或在特殊场合下例如PP的开锁功能使用时产生的虚假标识)及尾随的16位时间戳组成的。
特殊门卡
在一些特殊门卡中,我们的探讨中最重要的是编程卡和备份卡。当一张编程卡塞入门锁后,在塞入一张备份卡,那张备份卡就变为这门的客人门卡了。
编程卡和备份卡通常用于编码器出错导致客人无法进入客房,而普通门卡又没做出来的场合。不过,这又招致新的危机——一旦做出了编程卡,任何酒店客房形同虚设。
可以知道,编程卡是由酒店物业的源代码加密编码而来,而备份卡和其他卡差不多,不包含任何加密,仅简单包含一个流水编号。
叙述流程
观察日常使用下的系统情况能使事物之间联系变得紧密些。以下以普通常见方式叙述酒店的门锁系统。
安装
在由Onity人员安装编码器时,酒店内的门就以指定标识码和初始钥匙编码方式录入数据库内。然后酒店员工就用编码器将房门数据载入到便携式编程器内。当门锁在酒店内安装时,它们都被便携式编程器赋予了特定钥匙编码和主管编码。这种情况也在门锁没电导致数据丢失,然后更换门锁电池时发生。
客人入住
当客人进入一家酒店入住时,Onity系统的第一步是生成1张或多张门卡。房门号被输入至编码器,紧随的是逗留天数(为自动失效)及生成门卡数。门卡按序放置,将客房特定数据编码其中。
当客人第一次在锁中插入门卡,几件事发生了:
门卡的填充位数据生效,或数据不完整时门卡即时被拒。
门卡由门锁上的源代码解码。
经过校验,门卡生效或门卡校验不符被拒。
寄存器和转码器检测过期日,如果过期则被拒。
最后,检查钥匙编码。若酒店门卡上的提前量不超过门锁则门锁开启。
酒店门卡上到底有什么
前面讨论了一些门卡数据片段,下面就来完全拆解它的数据结构:
16位识别码
8位标志字节
16位到期日
8位授权字节(和本讨论无关)
24位未知数据(零)
24位钥匙编码
这些数据然后以酒店的源代码进行加密,储存在标准磁条卡的第三磁轨上。加密算法在本文附录B有说明。
门锁交互
和门锁之间的交互以单线双向方式进行。在门锁底部,门板的外面,有一个直流电源接口,通常用作供电,也将数据通过传输线接到其他设备上。
在其之上,是高层次的数据传输,允许读取内存信息和开锁。便携式编程器中还有其他几个功能,但因为和本文描述的漏洞无关,开锁设备也不需要,在此不表。
线路协议
基本概念
我们先定义能和门锁产生交互的设备为“主人”,主导所有交互功能。
在上拉电阻作用下,线路闲置在3.3伏高电平。“主人”和门锁要产生交互,需要产生一段时间的低电平信号(接地),称为脉冲。交互信息以瞬发方式进行,我们称之为“数据组”,即“主人”发送每段20微秒同步脉冲,之间间隔200微秒(两个脉冲边缘之间)。实际的交互在这些同步脉冲之间进行。如果一组12微秒数据脉冲在这些同步脉冲中出现,则设备之间交换了1比特信息。数据脉冲的缺失则视为一个零比特。
这里的重点是,无论“主人”还是门锁都能用数据脉冲进行交互,但同步脉冲只能由“主人”产生。
数据组结构
如上所述,数据组包含重复的同步脉冲,当中也许有数据脉冲,也许没有。要注意一下,所有数据组都有一个同步跟踪脉冲,当中并没有数据脉冲在内。
根据实验所得,数据组之间时间间隔不少于500微秒,而基本时序记录是2700微秒。
要在“主人”与门锁之间发送数据,无需一个起始信息,只要将数据组按次序发送即可。不过,正因为门锁本身无法生成自己的同步脉冲,它必须提示“主人”它希望得到信息。做到这一点,在线路闲置时将其中电平信号降低120微秒即可。门锁做到上一点的话,“主人”就开始生成同步脉冲,并监察门锁发送的数据脉冲信号。
高层传输协议
下面将会讲到相关高层控制指令的细节。注意:当提到“字节”时,意思是从最低有效位开始的8个比特位。
校验上的注意事项
每个高层指令看起来都有自己的校验值,其实只是指令值对自己和指令特定常量的异或运算。我们不清楚这些常量哪里得到的,也许它们单纯是硬编码随机量而已,只是为了将传输协议搞得更加复杂罢了。
读取指令
读取命令会用到一个16比特内存地址,然后返回该地址的16字节信息。这意味着如果你从地址0读取信息后,再读取地址1时,会有15字节信息重复。通常你每次读取信息时,是希望得到每行不重复的16字节信息的。
读取指令中,单个数据组用以下的格式编码:00000000000000000000000000000000000000001010001111AAAAAAAA1BBBBBBBB1CCCCCCCC。A字节是内存地址高8位信息,B是低8位,C字节是一个校验值,由A^B^0x1D异或运算得到。
当这条信息发送时,门锁会发出信号,传出165比特为一数据组的信息。头13比特信息作用不明,随后有16个9比特字节(就是每个8位字节后跟随1个比特),在最后就是用于校验的8比特信息。(每个常规通信都是如此)
开锁指令
开锁指令需要用到32位的源代码,假如门卡身份信息与门锁内信息吻合,马上就开。
开锁指令用到好几个数据组,下面是它们传输的格式与顺序:
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
上面的A、B、C和D字节分别为源代码的第一、第二、第三、第四字节。S字节是校验结果,由A ^ B ^ C ^ D ^ 0xDD异或运算得到。
无论运算结果正确或错误,门锁都不对“主人”作回应,只是源代码计算正确的话,就会开启。(译者注:这句看起来好矛盾,但如果还记得文章中门锁的定义,那就好理解了。门锁不对门卡进行消息反馈例如失败什么的,反正门卡没有耳朵眼睛,但是我们人有,所以通常开锁失败时候闪红灯,那是给人看的,不是给卡片看的。)
门锁内存信息
从前面详细叙述门锁通信协议细节来看,我们能做到读取所有内存信息,然后给予一个源代码来开锁,只是你必须清楚源代码到底在内存地址当中哪个位置。
下面是普通客房门锁当中几个关键内存地址。而其他类型的门,例如墙上刷卡机(多数用作酒店外部的门)和客房门锁的内存映射有一点点差异。
· 源代码:在0×114有4个字节 · 编程卡编码:在0×124有3个字节 · 钥匙编码:在0x412C 钥匙编码所在的地址包括了一系列不同的值。首先是客人的值,共3个字节,后面跟随了一个0×00字节。再之后,就能得到一些“主人”编码,每个有效“主人”由3个字节及后面跟随一个0×80字节组成。如果不是,则后面跟随的字节为0xFF。最后一行记录(带有0xFF结尾的)一定是无效用户。
门卡加密
前面提过,门卡是通过源代码作为钥匙进行加密。在本文发布前,通常认为算法是自定义的、不公开的。而这一说法还没得到证实,但是一个用Python写的实例附在了本文附录B中。
对算法缺陷的研究一直在进行中,但是给予一个狭小的密钥可能空间(只有32比特)以及已知明文攻击,简单的暴力破解是能做到的。
漏洞
前面提到了很多Onity门锁系统内部工作原理,但还是应该难以理解,何以所有岔子都走在一块了。
开锁功能
只要有能力读取门锁内存,以及得知源代码在内存哪个位置,读取其中的源代码然后以开锁指令格式发送回去简直是小菜一碟。这样就能马上获得开门权限,在审核日志当中不过只是显示PP(便携式编程器)曾经用过门锁。
这个过程在四分之一秒内能够完成,在附录A中有破解设备例子可以参考。
制作主管门卡
因为我们有能力读取门锁内存,以此类推,将主管钥匙编码读出门锁,制作自己的主管门卡成为了可能。和赋予员工编号差不多,只要有主管编码,任何门都是可进的。
当然,一卡在手还是不能进所有的门的。因为就算是酒店的主管们也分几等。举例来说,酒店会将主管们分为三类,而客房部的主管们则人手一张主管门卡。因为这样的分类配置,拿到了一张主管门卡只能让你拥有酒店三分之一的权限。
编程卡制作
能够存取内存,我们就能获得酒店的源代码及编程卡编码。有了这些,我们就能够为每把锁做一张编程卡。做一张备份卡无需对酒店或一切锁的了解,而且能提前为未来准备完成。
在对门锁使用了编程卡后,只要插入备份卡,门锁就能开启。(译者注:其实就像是单位门禁卡管理中,不看说明书强行为下属获取门卡的主管,一个劲在门上刷,碰巧和前面步骤相符就能制作新卡,完事后还一个劲抱怨工作辛苦什么的。)日后,这张备份卡能够不断反复使用进入房门,能熬到新客人入住为止。
伪造备份卡
缺乏加密,以及备份卡能逐渐制作出来,那么伪造备份卡获得进入另一个房间也是可行的。
举个例子,一台编码器故障了,住户们正由酒店员工手工发放备份卡进行入住手续。你获发一张编号为1234的备份卡,但你能够将其改为1233或1235,然后尝试进入其他房门。虽然没有其他情报下,判断这能具体开酒店哪个房门几近妄想,但卡本身增加的特性还是让你进入酒店某间房可能增加不少。
基本密码学破解
密钥可能空间狭小,以及门卡上缺乏真正的加密,有不少简单破解手段能够付诸实行。在后面会提到,我们仍需在分析密码上下多点工夫。
从门卡加密的结果来看,每个字节的加密只用到了源代码的一小部分,加上已知关系推敲联系,就能确定源代码。举例来说,你入住一间客房,获得两张门卡。两张门卡的区别仅仅是识别区的一个字节信息。同样,如果你知道几张卡的到期日,就能利用之间的差异作为破解提示。(译者注:这活脱脱就是明文攻击。)
这过程没有技术含量,不需要一个密码专家就能完成,在之后会有更多的研究需要去做。无需多言,这里牵扯到的密码学对安全毫无助益,对这32位加密空间涂鸦级别作品遮遮掩掩其秘密超过二十年,这样的产品不值信任。
设计凶杀案陷害酒店员工
拥有了读取门锁全部内存信息的能力,那就可能获取主管门卡编码。以上这些,结合源代码进行加密编码,就能做出主管门卡,从而获取开启酒店门锁的权限。
且看看这样一个假想情况:
· 破解者用前面提到的漏洞读取门锁的内存信息。 · 破解者利用源代码和主管门卡编码生成一张或多张主管门卡。 · 破解者利用主管门卡进入一间客房。 · 破解者在客房内杀害受害人。 · 破解者逃离现场。
而在司法侦察过程中,刑事探员们往往会查阅门锁的审核日志,以查看在何时为何人进入房门。在这当中,他们会看到某个特定员工(因为门卡在识别编码范围内是唯一编号的)在受害人死亡相近时间用主管门卡进入客房。
这样一个充分证据,将一名员工在死亡时间推进客房,在谋杀案审判中可置其万劫不复,最差也能让那员工成为头号嫌疑人。而其他因素(例如闭路电视、目击证人等)也许会对该名员工有利,但我们却无从知晓门锁审核日志的真伪性了。(译者补充:于是某些酒店为了平息事件,淡出公众视野,直接开除嫌疑人撇清责任……)
总结
在本文中,我们列举了针对Onity酒店门锁提供的安全措施每个层次破解方法。
· 门锁通信端口不可靠,能够直接对内存操作,任意读取内存信息。加上对系统的基本了解,破解者能够直接开门、制作主管门卡,甚至制作整个酒店的编程卡。 · 门卡上的密码系统有先天缺陷。密钥空间太狭窄,甚至最普通的暴力破解也能凑效。在这点上,未来将继续深入研究系统的加密算法。
· 审核日志一直以来被认为是门锁使用的安全记录,因能利用内存信息制造门卡这点上,可说是蒙人的存在。接下来的研究,在门锁通信协议中允许写入内存这点上,将对审核日志直接修改。
这些漏洞无可饶恕,它们系统本身的缺陷是我们强烈建议不要使用Onity门锁,直到充分修补这些漏洞为止。
对于任何酒店的住户,我们建议使用门链或插销,只要能提供额外安全保障就行。电子锁的门闩能够被门锁机械系统解除,它唯一的用处只有防暴而已。
披露信息
揭露出这些显而易见的漏洞(除了那不常见的通信协议外),他们的震惊,以及消除这方面影响的困难,我无法轻易决定将这篇消息公开。我们无法确定,但我们有理由相信这些问题在Onity内部能够引起注意,让他们将这些门锁投放市场前,给多超过十年改进时间。
不过,在权衡之下,揭露造成的短期潜在效应远远不及对酒店行业和公众长期危害,尤其是只有少数人知道这一秘密的情况下。
未来的研究
未来的研究方向有很多,大致分为这么几类。
密码学
当前实现的算法在分析上也许不是最优的。编辑整理好的算法,外加一个简单实例,对密码学者来说应该有所帮助。
这也许是个自定义算法,也有可能是现成就有的算法,或已有算法的某个变种。
逆向通信协议
比起读取门锁内存来说,写入内存更为可行。实际上,便携式编程器就是如此。尽管对便携式编程器通信方式还在研究,确定写入内存指令的格式只是迟早问题。
门锁内存映射
我们只了解门锁内存空间的很少部分,仅在酒店客房部分。对不同门锁用特定变量进行编程,或将其置于不同情况下,将所有Onity门锁的完整内存映射确定下来应该不难。
确定现有研究对保险柜锁是否适用
我们怀疑Onity商用锁(保险柜)所用的通信协议和他们的酒店门锁也是大同小异的。如果是的话,就能进行相似的操作乃至破解保险柜锁。
附录A:开锁设备
本附录详细列明在Arduino平台下制作及编程一台开锁设备。
附注
这台设备上有些瑕疵,以至于不能作用在一些锁上。现阶段,暂且认为是计时出错,以至于每个字节的第一个比特错误。
补充一点,基于特定司法区域的防盗相关法律下,拥有这个设备可能违法,在做一台开锁设备前最好咨询一下法律顾问。利用这台设备获取你无法进入区域的权限或为非法。本文不保证,也不承担任何责任,也就是说,责任自负。
硬件安装
需要的硬件:
· Arduino Mega 128 · 5.6千欧电阻 · 直流电源接口,外径5毫米,内径2.1毫米。
将Arduino上3.3伏电源和数字IO引脚3用电阻连接,再将数字引脚3和直流接口内部相连,最后将直流接口外部和Arduino一起接地。
详细代码可到原文查看
《开源杂志》微信请搜:开源杂志 ,官网oszine.com 关注开源硬件与创新,通过推广开源文化将创意实现的门槛降低
明(化名)夫妇卧室的画面,正在被偷拍。
12月17日的晚上,王明夫妇在卧室聊天。妻子手里拿着毛巾,坐在床边洗脚,位置正对着摄像头。她浑然不知,在摄像头另一端,有人将这些看得一清二楚。
这对夫妻可能没想到,两人的日常生活已成为“试看频道”,被偷拍者作为吸引他人购买的福利。这家人使用的摄像头有回放功能,一个月来何时出门、何时回家、做了什么,都被卧室里的摄像头,同步直播下来。
新京报记者调查发现,大量类似的监控视频在网上传播,其背后是一条非法破解摄像头,买卖、传播偷拍视频的黑产链条,除家用摄像头外,一些人还在酒店安装了针孔摄像头偷窥他人隐私。
一组来自行业调查公司IHS Markit数据显示,2017年中国在公共和私人领域(包括机场、火车站和街道)共装有1.76亿个监控摄像头,据媒体报道,预计到2020年内中国安装摄像头的数量会增加到6.26亿个。
近年来,各地警方不断破获黑客非法控制家用摄像头案件。近日,温州警方控制犯罪嫌疑人32名。警方介绍,犯罪分子非法贩卖某公司品牌APP破解工具,利用APP破解工具对他人的摄像头进行扫描,控制数十万只家用摄像头。
▲温州警方召开新闻发布会,现场展示犯罪嫌疑人的作案工具。温州警方供图
温州警方破获特大非法控制家用摄像头案
新京报记者从温州警方了解到,今年6月,温州市公安局网安支队在网上巡查时发现,有人在一些互联网论坛、贴吧、社交工具中,交易多家公司品牌的家用摄像头破解工具和被控制的家用摄像头账号密码。
经进一步侦查,民警发现,嫌疑人还贩卖家用摄像头拍摄的私密视频,部分内容甚至涉及私生活。
警方在侦查中发现,涉案嫌疑人贩卖的监控视频账号达数万个。从视频的拍摄角度和内容可以判断,当事人系在不知情情况下被拍摄录制,且部分摄像头的安装位置敏感、范围广,涉及家庭卧室、美容院、私人会所等。
据温州警方抓获的黑客供述,他们制作扫破摄像头软件,对账号密码设置强度不高的摄像头进行扫描破译,强行侵入并控制他人的家用摄像头系统。
警方介绍,这些人通过非法侵入摄像头系统,获取私密视频后,会通过贴吧、QQ群买卖,或者与他人互换摄像头账号。根据视频的私密程度,定价5元到60元不等。犯罪嫌疑人涉及全国各地。
温州市永嘉县警方抓获的一名30岁的男子,没有正式工作,因出于好奇心在网络论坛上发现有软件可以破译摄像头软件密码,后因贪念建QQ群,用于在群内贩卖破解的账号和密码,赚取生活费。
永嘉县警方透露,此次行动中,他们共抓获犯罪嫌疑人11名,每名嫌疑人在生活中都互不认识,只是在网络上通过虚拟身份联系。他们贩卖摄像头的账号和密码时,会先让客户试看部分片段。客户试看后,通过支付宝、微信红包直接转账,即可获取监控的账号密码。涉案金额达上万元。
温州警方介绍,此类犯罪严重侵犯了公民的隐私,社会危害性极大,属新型网络黑客犯罪。经两个多月的侦查,温州市公安局网安支队组织永嘉、瓯海、龙湾等八个县市区网安部门、派出所等警力开展跨省收网行动,分别在海南、河北、河南等二十多省市抓获张某某、李某某等犯罪嫌疑人32人。
经审查,犯罪嫌疑人对于非法贩卖摄像头破解工具,以及利用摄像头破解工具对他人的摄像头进行扫描、控制的犯罪事实供认不讳。目前,涉案人员均已被采取刑事强制措施,案件还在进一步侦办中。
床上翻身动作可清晰看到
新京报记者调查发现,目前,网络上仍有大量买卖类似视频的渠道。
“需要监控资源吗?”12月中旬,新京报记者加入一些名为“摄像头共享”“摄像头ID”的QQ群。一进群,就有卖家与记者私聊,推销其手中的监控视频资源。
为了吸引记者购买视频,同时也为了避免封号,一名卖家通过“闪照”功能,发送了一些露骨的画面给记者,虽然这些视频三秒就自动销毁,但仍可以看到日期均为近期。此外,他还发送了数张家庭日常生活监控截图。画面中,有母亲在哺乳,有一位女士坐在床上玩手机,还有一位美容院的客人赤裸上身。从神情来看,他们都不知道自己正在被偷拍。
为了证明自己的货源真实,对方发来一个监控账号,让记者试看。记者按照指示下载相应软件,输入账号、密码就能看到监控画面。记者注意到,这个密码非常简单,是三位连着的数字。
输入密码后,一经联网,画面即弹出。这个账号属于一对夫妻,姓名、地址不详,但他们的一举一动都暴露在他人的手机上。通过视频,可以看到这对夫妻家中卧室、门口走廊的画面。另外,摄像头有夜视功能,晚上可以清晰看到床上的人睡觉翻身的动作。
在一些贴吧中,同样存在贩卖摄像头账号的行为,买家一旦获取了账号和密码,也就获得了在app中操作摄像头的全部功能,包括录像、回放、转向,甚至还有对讲功能。一位卖家在帖子中强调“不要随便动摄像头”,他们担心他人频繁转向,会引起被偷拍者的察觉。
温州警方在调查取证中也发现,受害人对偷拍毫不知情,一位市民表示,自己完全不知道自己家摄像头被他人破解了,回去后要提醒身边的人。
▲卧室监控截图,这个账号被卖家当作试看频道,以此吸引买家。
70元可买300个摄像头ID
新京报记者调查发现,在互联网上,破解监控,买卖、交换私密视频,已经形成了一条完整的利益链条。
不同的卖家抛出的价位不同。一名卖家给记者发来十余张不同家庭的卧室截图,并提到“对床视频70元十个”。也有卖家15个ID卖188元,卖家发来的截图有美容院、按摩店、卧室的,其中一张是卧室实时截图,画面中有女士羽绒服和围巾。
在一个群里,一位卖家抛出了更便宜的价位,“70元300个频道任你挑选,按摩、大床、夫妻、美容院居多,妈妈再也不用担心视频离线了”。
除了买卖,更多活跃在贴吧和QQ群的人提出互换摄像头账号。换账号的要求很高,必须有“精品”视频,对方才愿意交换。也有人会收购视频账号,“更衣室的精品ID,30元起”,甚至还有人在贴吧中求浴室监控视频账号。
记者注意到,在这些卖家中,有骗子混迹其中,买家将钱转过去后不发账号,还有卖家在贴吧中曝光骗子。
新京报记者调查发现,除了买卖、互换摄像头账号,也有人售卖破解软件。一位卖家的手机中,装有“天眼通”“蓝精灵”“上帝之眼”等,他售卖的“天眼通”APP价格398元,号称可以搜索附近一千米所有品牌摄像头,每天扫描摄像头数量不限量。他透露,这款软件是以前的“天巡”、“刺客”等软件功能的后台整合。
其演示视频显示,软件打开后可同时显示9个画面,有整理、精品收藏、回放功能,其破解摄像头的账号和密码在下方显示。
另一位卖家则售卖一款388元的破解软件,专门扫描某个品牌的摄像头账号。扫描软件截图显示,该APP可以同时扫描一万个ID账号,并有查询在线ID的功能。
▲卖家向记者发来一些闪照和监控截图。
装在酒店的针孔摄像头
新京报记者发现,摄像头账户价格因场景不同有所区别,其中酒店的最贵,卖得最火,一些卖家为了规避审查,会将QQ群名称写成“9店”。
一位卖家主动加了记者微信,兜售酒店私密视频账号,10个账号480元。卖家发来了一段演示视频,他将自己手机上的软件打开,画面展示一对情侣睡在酒店圆床上,时间是12月20日12点,卖家一边操作一边讲解:“这是高档酒店的,你要的话直接发红包。摄像头可以转动、可以放大,高度清晰,可以直接下载或者回看一个月的记录。”
至于视频来源,对方表示“这你就不用管了”,不过他透露,这都是针孔拍摄,对方发现不了。
为了表示诚意和视频的真实性,他发来一个账号让记者体验。在相关软件中打开后,可以清晰看到一个酒店房间的场景,里面摆放着红色沙发和床。从画面角度看,摄像头隐藏在空调中,一名男子躺在床上打电话,打开声音,可以清晰听到他和别人交谈的事情。他还提到了自己的名字,挂电话时还向对方报了一遍自己的电话号码。这个软件同样有回看功能,近几日房间内入住人员的情况一览无余。
还有一位卖家,买卖的视频均是酒店内男女发生性关系的场景,20个ID售价188元。卖家表示,他破解了别人在酒店装的针孔摄像头,“不会被发现,都是很隐蔽的,就算发现了也跟你没关系”。
关于酒店安装针孔摄像头的情况早有存在,今年11月,浙江省公安机关在“净网2019”专项行动中,查获了一起从设计制作专用芯片、搭建远程控制平台,到加工组装伪装配件,并线上线下同步销售针孔摄像头的非法制售利益链条。警方发现,下游使用针孔摄像头的安装位置,包括家庭、宾馆、办公场所,其安装意图有的是为了偷窥他人隐私,也有为了传播淫秽物品,甚至有组织卖淫的。
警方介绍,除了无线路由器和时钟,常被改造伪装的日常用品还有烟雾报警器、电源开关插座等屋内常备装置。此外,便携手持的常用设备,如充电宝、手表、打火机,甚至饮水杯,也常被改造成偷拍工具。
据媒体报道,发现隐蔽摄像头的方法非常简便。只需要准备小时候玩的红色玻璃纸,用红色玻璃纸同时遮住手机镜头和闪光灯,在闪光灯开启的状态下给可疑的地方拍摄视频,如果发现发光发亮的物体,那就是针孔摄像头,原理是它会在相机红光的照射下发生反射。
▲卖家提供的酒店试看频道,可见一男子趴在床上。
大量个人摄像头容易被黑客入侵
温州警方表示,非法入侵他人摄像头社会危害极大,并存在隐患。除了严重侵犯网络信息安全外,还严重侵犯个人隐私,犯罪嫌疑人对录制的视频,按照私密程度进行分类、贩卖,同时为传播和扩散埋下了隐患,社会危害性极大。此外,容易诱发人身、财产类犯罪,基于犯罪嫌疑人利用黑客工具非法控制网络智能摄像头进行偷窥、录制、传播不雅视频的不法行为,易引发敲诈勒索、猥亵、强奸等严重侵犯财产和人身权利的犯罪。
网络安全公司白帽汇创始人赵武长期关注摄像头黑产,他此前接受新京报采访时提到,破解个人摄像头以窥私并出售私密视频牟利的情况,近几年才出现,这与个人摄像头的普及有关。现在很多人安装网络摄像头,监护家中的小孩、老人或宠物,或者当成家中安防工具。但大量摄像头存在容易被黑客入侵的安全漏洞。
赵武的团队曾向监管部门上传过一份报告,指出多款摄像头存在容易被攻击的安全漏洞。甚至有些厂商在生产摄像头过程中,已经预留了可以远程操控的后门。
2017年,原国家质检总局发布智能摄像头质量安全风险警示,相关部门采集摄像头样品40批次,经检测,32批次存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等,占比百分之八十。
新京报记者在调查中,得到一张卖家发来的卧室监控画面实时截图,画面上方有白色字体显示“密码过于简单,请立即到电脑端更换设备密码!”一位黑客在论坛中提到,“摄像头都有IP地址,需要密码才能看到监控录像,很多设备没有改默认密码,所以我们就可以随意监控他们了。老玩法了,没什么技术含量。”
今年5月份,新京报曝光了一些摄像头的云视通账号被出售的情况。“打包全网最低98元”,卖家发送过来的视频画面,被拍者正换衣服或赤身裸体。云视通客服称,系用户使用老版摄像头时未修改导致账号被盗取,用户可通过设置复杂密码、尽量避免放在涉及个人隐私位置等方式保护信息安全。
温州警方表示,侦查时发现,被入侵的摄像头账户密码都比较简单,比如连续的数字或英文字母,有些密码和用户名相同。警方提示,用户在使用摄像头时要加强防范意识,如最好修改原始密码,使用复杂的密码,尽量不要对床,睡觉时将摄像头挡住等。网络安全公司白帽汇创始人赵武认为,厂商也需要不断改进,提高安全系数。
破解、买卖摄像头账号行为涉嫌犯罪
新京报记者发现,除了售卖摄像头账号,也有人将一些私密、淫秽的画面录下来,有些用来宣传,有些直接售卖。在新京报记者调查中,一位卖家见记者迟迟不买,就发了一段12月9日晚上10点多,一对夫妻在卧室发生性关系的视频,并称还可以回放其他片段。
温州警方表示,此举涉嫌传播淫秽物品罪,具体需要根据数量和金额判定。在非法破解家用摄像头行为中,嫌疑人更多的是涉嫌非法获取计算机信息系统数据罪和非法控制计算机系统罪。
现实中,非法破解家用摄像头已有被判刑先例。12月20日上午,销售“千里眼”的男子张某被控提供、侵入非法控制计算机信息系统程序罪,在北京市朝阳法院受审并被判有期徒刑9个月并处罚金1万元。
根据指控,张某于2018年10月至2019年4月,多次在其搭建的网站“H客联盟”上向他人出售“千里眼”等程序,从中获利一万余元。经鉴定,“千里眼”是一款软件,它可通过“弱口令撞库”的方式,获取他人网络摄像头用户名和密码,具有远程控制网络摄像头的功能。
新京报记者在裁判文书网中注意到,12月11日,北京市朝阳区法院还判决了一起非法控制计算机信息系统案,被告人被指通过搭建“上帝之眼”“蓝眼睛”等APP,非法控制监控摄像头18万余个,并通过在网络上推广上述摄像头实时监控画面非法获利人民币89万余元,最终获刑5年。其同伙被以帮助信息网络犯罪活动罪,判处有期徒刑十个月,罚金人民币一万元。
随着警方不断破获黑客非法入侵居民家用摄像头案件,互联网上相关QQ群、贴吧被封了不少。一些卖家开始隐身于普通摄像头品牌贴吧,甚至有些人将品牌摄像头名称作为买卖隐私视频账号的群名。卖家越来越隐秘,有卖家在贴吧中发帖后,引导他人点击其主页才能看到联系方式,也有人在QQ签名中称某个群已封,要求他人加好友进新群。
新京报记者 赵朋乐 编辑 赵凯迪 林野
值班编辑 王洪春 校对 付春愔
日,浙江温州警方破获非法控制家用摄像头案,控制犯罪嫌疑人32名。警方介绍,犯罪分子非法贩卖某公司品牌APP破解工具,利用APP破解工具对他人的摄像头进行扫描,控制数十万只家用摄像头。新京报记者调查发现,大量类似的监控视频在网上传播,其背后是一条非法破解摄像头,买卖、传播偷拍视频的黑产链条,除家用摄像头外,一些人还在酒店安装了针孔摄像头偷窥他人隐私。
12月17日晚上,市民王明夫妇在卧室聊天。妻子手里拿着毛巾,坐在床边洗脚,位置正对着摄像头。这对夫妻可能想不到,两人的日常生活已成为“试看频道”,被偷拍者作为吸引他人购买的福利。
家庭摄像头记录的视频变成了网上直播,变成了视频生意,这是何等可怕?我们安装在客厅里的摄像头,我们安装在卧室里的摄像头,我们在这些摄像头下的一举一动,都能被不法人员变成金银财宝,成为他人灰色的财富。“盗窃家用摄像头视频”的链条上,究竟挂着多少变态的瓜?
需要揪掉“技术滥用”的瓜。警方介绍,之所以能够控制家庭摄像头,就在于市场上有一种破解工具,这种破解工具专门能破解“家庭摄像头”的隐藏技术。不难看出,是“技术滥用”导致了家庭摄像头被偷窥的发生。“技术滥用”已经十分严重,市场上出现的偷拍神器、变声神器、跟踪神器、解码神器,就是“技术滥用”的佐证。这样的“技术滥用”究竟谁来约束?
需要揪掉“销售乱象”的瓜。“技术滥用”涉及的是约束管理问题,是明晰科研边界的问题。然而,“技术滥用”之下的违规生产、违规销售也是罪魁祸首之一。不管是实体店还是网络店,都能轻轻松松购买到类似于“摄像头破解仪器”的产品,这些产品何以光明正大销售?山东烟台市场上有不少“变声神器”,市场管理部门接到投诉之后却表示“无法查处”,因为没有明文规定。这也是一种执法的尴尬。
需要揪掉“心理龌龊”的瓜。家用摄像头记录的视频,是不法人员窃取的,自然他们是需要严厉打击的。问题是打击了“盗窃视频”的,是不是还该打击“购买视频”的?没有需求就没有市场。其实,是一些人“龌龊的心理”拓展了“灰色的市场”。严厉打击“龌龊的需求”是终结乱象的渠道之一。试问,违法视频都被谁买走了?
在监控探头越来越多的今天,严厉打击“盗窃家用摄像头视频”不能手软。
(来源:红网)
