國家互聯網應急中心專家劉中金:揭露攝像頭偷窺黑色產業鏈
10月11日-17日,由中央宣傳部、中央網信辦、教育部、工業和信息化部、公安部、中國人民銀行、國家廣播電視總局、全國總工會、共青團中央、全國婦聯等部門聯合舉辦的 2021年國家網絡安全宣傳周在陜西西安舉辦。
10月11日晚,以“共筑防線、共享安全”為主題的網絡安全線上主題晚會在陜西衛視頻道、2021年國家網絡安全宣傳周官方網站、西安廣播電視臺等平臺播出。晚會聚焦防范電信網絡詐騙、個人信息保護等群眾關心的熱點問題,采用文藝作品、專題案例、現場互動等形式,讓觀眾欣賞到一場網絡安全知識的視覺盛宴。國家互聯網應急中心支撐中央網信辦開展攝像頭偷窺黑產治理的相關工作在主題晚會中亮相。
10月14日晚,焦點訪談播出的《警惕“黑客”來敲門》節目中,對攝像頭偷窺黑產及人臉識別視頻黑灰產進行了深入報道。犯罪團伙倒賣攝像頭隱私畫面牟取私利,利用人臉識別信息注冊大量手機卡用于賭博、詐騙,大量公民個人隱私遭到暴露。
在以上節目報道中,研究二室高級工程師劉中金在節目中對攝像頭偷窺黑色產業鏈進行了揭露。
近年來,攝像頭偷窺黑產日益猖獗,不法分子利用攝像頭漏洞,在社交平臺、論壇等售賣攝像頭隱私畫面、攝像頭破解工具等,嚴重侵害了公民的個人隱私。國家互聯網應急中心研究二室安全研究人員發現不法分子通過QQ、論壇、暗網、通信軟件等渠道批量的銷售攝像頭賬號、攝像頭偷窺APP、掃臺工具、破解工具等黑產軟件,單個的攝像頭價格大多在4-6元之間,被銷售的攝像頭大多朝向客廳、臥室以及院落等比較敏感的區域。通過進一步分析,被黑產利用的攝像頭大多在認證機制、傳輸協議等方面存在比較嚴重的安全漏洞,不法分子利用相關的安全漏洞制作掃臺工具、破解工具等黑產軟件,批量獲取攝像頭的訪問權限和賬號,進而通過攝像頭的客戶端軟件,批量的訪問海量的攝像頭實時畫面。
針對這一問題,今年5月以來,中央網信辦會同工業和信息化部、公安部、市場監督管理總局四部門深入開展攝像頭偷窺等黑產集中治理工作在網信辦等多部委指導下,國家互聯網應急中心在打擊攝像頭黑產專項整治行動中,開展了大量的調查取證工作,包括黑產售賣渠道摸排、黑產工具功能驗證及線索分析、被黑產利用的攝像頭漏洞分析、黑產通信行為監測及規模研判等具體工作。
國家互聯網應急中心監測報告59個黑產掃臺工具服務端,識別發現超過40萬臺攝像頭受到黑產影響,并協助8家攝像頭生產廠商修補攝像頭安全漏洞10個,相關工作有力支撐了中央網信辦的攝像頭偷窺黑產集中治理工作:中央網信辦指導各地網信辦督促各類平臺清理相關違規有害信息2.2萬余條,處置平臺賬號4000余個、群組132個,下架違規產品1600余件。其中,百度、騰訊、UC等重點網站平臺,清理有害信息8000余條、處置違規賬號134個;京東、淘寶、閑魚等電商平臺,下架違規宣傳或違規售賣攝像設備1600余件、處置違規賬號3700余個、清理違規信息1.2萬余條。對存在隱私視頻信息泄露隱患的14家視頻監控APP廠商進行了約談,并督促其完成整改。不僅有效的打擊了經營攝像頭黑產的不法分子,還在源頭上杜絕了攝像頭被偷窺的行為,攝像頭黑產的專項整治取得了積極效果。
國家互聯網應急中心將持續拓展攝像頭等物聯網黑產的安全監測能力,支撐主管部門形成長效治理機制。
在物聯網時代,攝像頭黑產僅僅是網絡安全問題的冰山一角,國家互聯網應急中心很早就關注到物聯網網絡安全問題,并持續開展相關研究,在物聯網網絡安全監測、物聯網網絡安全檢測和物聯網網絡安全靶場等方面形成了體系化的技術能力。針對物聯網安全“看不全、抓不住”的安全痛點,研發了數據驅動的物聯網網絡安全綜合分析系統,形成了“云管端卡” 四位一體的網絡安全態勢感知能力,實現對海量物聯網資產測繪、精準畫像及攻擊發現的能力。同時,中心也在物聯網芯片、固件供應鏈安全以及5G+垂直行業網絡安全等方面持續開展技術攻關,面向關鍵信息基礎設施運營者和主管部門的需求提供網絡安全技術服務和網絡安全威脅情報服務。
