『』揭秘:关于物联网安全的那些黑色产业
繁荣和发展的背后 , 必然会滋生出世人看不到的乱象 。
就在前几日 , 笔者在朋友圈无意看到一个关于物联网隐私的文章 , 内容主要是针对智能音箱、扫地机器人摄像头隐私问题的担忧 。根据相关资料以及韩国“N号房”事件的启发 , 顺藤摸瓜 , 笔者在某社交平台发现了包含摄像头的智能硬件确实存在黑色产业 。
通过该社交平台的群组功能 , 输入关键词“摄像头”出来的大部分都是以下内容 , 随后 , 笔者加入其中一个群聊后 , 发现这个黑色产业非常“正规” 。
文章图片
文章图片
截图来源于该平台
加入群聊后 , 便有群成员主动上门来推广“产品” , 经过了解 , 这个产业主要是先破解摄像头厂商的云平台软件(在聊天过程中 , 该成员给笔者很明确说出了该平台的名称) , 进而破解用户的摄像头ID , 进行“窥视” 。根据聊天记录 , 可以看出 , 这个产业已经形成了一定的规模 , 不仅能够出售已经破解好的摄像头画面 , 还能够实时进行摄像头监控 , 也就是安装了摄像头的家庭 , 日常活动都在监视者的眼皮底下 , 想想就背后发凉 。
文章图片
文章图片
最让人惊讶的是 , 他们还出售破解软件套餐 , 意思就是按照他们的教程 , 利用手机就能扫描并破解你身边安全性较低的带摄像头的设备 。
文章图片
文章图片
截图来源于该平台从数据库入手 , 形成循环黑色产业链
那么 , 家用摄像头是如何被破解的?经过了解 , 破解摄像头可以从两个方面出发 , 一方面是 , 某些摄像头品牌使用弱口令注册账号 , 有的甚至不用注册就能连接摄像头设备 , 可以轻易被破解;另一方面 , 黑客通过“拖库”“撞库”“洗库”“社工库”等技术完成了对摄像头ID的破解 , 并形成完整的产业链 。这里简单介绍一下“拖库”“撞库”“洗库”“社工库” , 这几个词儿本身是来源于数据库领域 , 现在已经被黑产化了 。
文章图片
文章图片
图片来源于网络
【『』揭秘:关于物联网安全的那些黑色产业】拖库:从数据库中导出数据 , 现在用来指网站遭到入侵后 , 黑客窃取数据库的行为;
撞库:使用大量的一个网站的账号密码 , 去另一个网站尝试登陆 。
洗库指黑客入侵网站在取得大量的用户数据之后 , 通过一系列的技术手段和黑色产业链将有价值的用户数据变现 。社工库:黑客将获取的各种数据库关联起来 , 对用户进行全方位画像 。
利用这些库可以实现黑产产业循环:黑客入侵A网站后对网站拖库 , 拿到的数据可以存到自己的社工库里 , 也可以直接洗库变现 。拿到的这部分数据再去B网站尝试登陆 , 而这就可以称之为是撞库 。撞库后的数据可以继续存入社工库 , 或是洗库变现 , 以此循环...
要知道撞库的数据量是非常庞大的 , 所以这些数据的获取渠道一般有黑市上购买、同行间的交换、网站被攻击后的数据泄露等 , 这也很容易解释上文所说的 , 为什么在搜索摄像头关键词后 , 会出现那么多不同地区的群组 , 他们手上的资源进行互换后 , 数据量是相当庞大的 。“遍地开花”的物联网黑产
笔者就这一事件 , 与奇虎360战略合作部的相关负责人进行了交流 。根据了解 , 目前整个物联网的黑产除了摄像头图像窃取和在线售卖 , 还有智能音箱语音对用户日常隐私信息的收集 , 僵尸网络病毒以及利用iot设备挖矿 , 关于智能音箱收集用户隐私 , 具体可查看《智能语音助手又出差错 , 却暴露了智能家居背后更大的问题》这篇文章 。
推荐阅读
- 互联网分析师于斌|对于陆正耀“背后”的愉悦资本来说,反思才是第一要务
- 互联网的一些事|QuestMobile:2020 移动互联网人均使用时长同比增长 12.9%
- 互联网的放大镜TB|vivo X50Pro发布,小米10瞬间不香了?
- |传统互联网产品经理正在消失,如何自救?
- 海信再造海信!揭秘青岛国企混改新样本
- |搜狐畅游的修仙往事:当互联网公司开始“拜神信教”
- 德林社|再造海信!揭秘青岛国企混改新样本
- |稳定币周报:稳定币总活跃地址数创新高,揭秘DAI的用户画像
- 互联网乱侃先生|国产机们不用再看高通脸色?超级芯片巨头入场,GPU比高通强很多
- 基建新基建按下互联网保险“加速键” 慧择头部效应凸显