你家的摄像头有没有突然开始转动,哪怕没人操作?智能音箱是不是在没人说话的时候突然“应答”?这些听起来像电影情节的事,其实每天都在真实发生。问题就出在我们越来越依赖的物联网设备上。
为什么物联网成了黑客的“软柿子”?
很多厂商为了快速上市,把重点放在功能和价格上,安全反而是次要考虑。一台百来块的家用摄像头,可能连最基本的加密都没有。更常见的是,设备出厂时用的默认密码是“admin/admin”,用户买回来根本懒得改,等于大门敞着等贼进。
去年有研究人员扫描网络,发现国内公开暴露的摄像头IP超过十万台。不少直接通过浏览器输入地址就能查看实时画面,不需要任何验证。这可不是个例,智能门锁、路由器、甚至儿童玩具,都存在类似漏洞。
攻击方式比你想象的更简单
黑客不需要懂底层协议,网上随便搜一搜,就能找到现成的扫描工具。比如用 Shodan 这类搜索引擎,输入关键词 like “webcam” + “China”,几秒就能列出一批可访问的设备。
GET /cgi-bin/current.cgi HTTP/1.1\nHost: 192.168.1.100\nAuthorization: Basic YWRtaW46YWRtaW4=\n\n上面这段请求,就是在尝试读取某类摄像头的实时画面。YWRtaW46YWRtaW4= 是 “admin:admin” 的 Base64 编码。只要设备没改密码,一次请求就能拿到画面。
你以为只是被偷看?后果可能更严重
单个设备被黑,看起来危害不大。但问题是,这些设备往往接入家庭内网。一旦被控制,就可能成为跳板,进一步攻击你的电脑、手机,甚至银行账户。
更可怕的是“僵尸网络”。黑客把成千上万台被控设备组成网络,用来发动 DDoS 攻击。2016 年的 Mirai 病毒就是靠感染摄像头和路由器,干瘫了美国多个大型网站。你家那个闲置的旧智能插座,说不定正在参与攻击别人。
别指望厂商帮你搞定一切
很多设备发布后从不更新系统,或者只维护一年。有的连固件升级功能都没有。这意味着漏洞一旦被发现,就会一直存在,直到设备报废。
解决办法其实不难:买设备时看看有没有定期安全更新;到手第一件事就是改密码,关掉远程访问功能;路由器上给物联网设备单独建个访客网络,隔离风险。
科技带来便利,但也得为安全多留个心眼。毕竟谁也不想自家客厅变成别人的“直播现场”。