奸伪狡猾的便利:为什么婴儿监视器如此危险
婴儿监视器看起来人畜无害:玩具熊、玩具小狗、长颈鹿毛绒玩具、花。当然,婴儿监视器做得不会让婴儿害怕,不过它们做的事情依然好可怕,监视宝宝的一举一动和声音,不管婴儿是哭还是流鼻涕。监视器都会向父母实时播放视频,并能在出现问题时提醒 TA 们,例如,如果婴儿的鼻子和嘴没有呼吸,或者宝宝冒险离开婴儿床,即"智能小区"。
未来的保姆
婴儿监视器不能取代真正的人类保姆。不过,它们可以帮助父母照顾孩子,无论宝贝在哪里:在隔壁的房间,或者,如果婴儿监视器支持 Wi-Fi 连接,在世界任何地方,甚至在另一个城市里。有些摄像机可以自行旋转 360 度,并放大孩子的身影。如果婴儿发脾气,监控器会用在移动应用程序上远程开启的摇篮曲来安抚小宝贝。如果这些都无济于事,父母可以与自己的宝宝交谈,听到孩子的笑声(或哭声),这要归功于双向交流。
但是,婴儿监视器的无害外观可能具有欺骗性。像任何其他现代技术一样,婴儿监视器也可能被黑客入侵。而且,如果机器成为黑客的猎物,他们可以破坏整个智能家居系统。一个被黑的婴儿监视器可以对你的本地家庭网络和所有与之相连的设备有访问权限,包括智能语音助手、智能音箱、智能插座、智能灯泡、智能吸尘器等等。
照片:Manik Roy/Unsplash
不仅如此:在智能家居中寻找漏洞的入侵者本身就是一个坏消息,那么还潜伏着遇到性变态者的风险,他们会对孩子的心理造成不可弥补的伤害。
安全性薄弱,极易受到攻击,这就是与互联网连接的婴儿监视器有关的已经被大家讨论的问题。但这并没有减少监视器的受欢迎程度。全球婴儿监视器市场的价值超过 10 亿美元,而且还在继续增长。当然,有数字式和模拟式的婴儿监视器,但它们缺乏一个繁忙的父母正在寻找的主要优势:无限的范围。即使是最好的数字显示器,其范围也不到 300 米。
因此,除非小宝贝的父母接受失去对显示器的远程访问,否则 TA 们将不得不接受可能的风险,并试图将其降到最低。但要做到这一点,你需要准确了解入侵者是如何入侵婴儿监视器的。
一键就可以入侵婴儿监视器
在这篇文章中,我们将重点介绍可以连接互联网的婴儿监视器。它们有不少功能,因此往往是父母的默认选择。它们设置也很容易:你唯一需要做的是将你的智能手机与婴儿监视器连接起来即可。
一旦婴儿监视器连接到网络,它很容易就成为黑客的猎物。大多数攻击都不是有针对性的,而是从互联网上收集信息,找到有漏洞的设备开始。为了找到它们,攻击者使用公共搜索引擎,如 Shodan 和 Censys。这些系统扫描物联网(IoT),即智能设备的漏洞。例如,Shodan 将所有公开的物联网设备每周至少检查一次,包括婴儿监视器、网络摄像头和路由器。
安全研究人员和黑客可以使用这些工具中的任意一个,找到具有未修补漏洞或未修补固件的特定类型的设备。黑客还可以搜索特定的端口,这是一个网络协议,用于接收或传输特定服务的数据。在此基础上,他们可以通过国家、ISP 和 IP 地址范围缩小搜索范围。
一旦黑客确定了一个设备,他们将试图使用许多父母在设置设备后留下的默认凭证来访问它,从而真正为他们的智能家居留下一扇敞开的大门。默认凭证可以通过简单的谷歌搜索获得,在设备手册中找到,或者简单地猜测一个用户名/密码,如 "admin"/"admin" 或其他同样巧妙的短语。
一旦掌握了摄像头,黑客不仅可以监控,还可以移动摄像头,改变图像和视频的存储位置,并做其他可怕的事情。
家庭路由器、智能冰箱,任何东西都可以成为一个入口点
通常情况下,这不是从婴儿监视器开始,而是从不安全的路由器或任何其他连接到家庭网络的设备开始。
照片:Sigmund/ Unsplash
以你的路由器为例。它存储了你的智能设备所连接的家庭网络的设置。如果你想改变设置,你需要通过浏览器访问路由器的固件。为了获得对路由器的访问,攻击者需要知道路由器的 IP 地址、远程访问密码和登录凭证。路由器是连接到互联网的设备之一,它被 Shodan 和类似工具定期扫描和检查,以寻找漏洞。对于大多数路由器,默认的用户名和密码是 "admin"。如果不是这样,你可以通过谷歌搜索路由器的名称和型号,很容易找到默认的路由器凭证。使用我们上面提到的一个搜索引擎,黑客可以入侵你的路由器,并渗透到你的家庭网络,获得连接到它的所有设备的访问权。
入侵者的切入点可能不是被入侵的路由器,而是智能冰箱甚至是你的电脑。从那里,他们可以渗透到其他设备,包括婴儿监视器,并干扰其运行。
漏洞百出的固件
最聪明的解决方案是在安装路由器和婴儿监视器后立即改变其默认凭证。虽然这无疑会保护你免受不那么成熟的黑客的攻击,但这并不一定意味着你摆脱了问题,可以高枕无忧了。
用户无法直接控制的一个问题是,婴儿监视器的软件可能存在漏洞,制造商可能不会及时发布更新,因而不小心为攻击者利用漏洞铺平道路。
Bitdefender 和 PCMag 的研究人员发现了一个流行的无线婴儿监视器的漏洞,允许攻击者访问视频、截图、播放音乐并了解设备的 ID。该漏洞是由于云存储权限配置不当而产生的,任何能够访问一个婴儿监视器的人都可以访问存储在所有其他相同品牌和类型的婴儿监视器上的所有视频和照片。这个问题在研究人员发表他们的发现后才被修复,也就是在首次发现该漏洞的九个月后。
在另一个在 Google Play 上安装了5万至10万个的流行婴儿监视器的案例中,制造商花了一年半的时间来修复一个可能允许攻击者访问音频和视频记录并在该设备上执行恶意代码的漏洞。
正如我们之前所说,猜测婴儿监视器的密码一点都不难。但是,曾经潜入婴儿监视器中使用的网络摄像头软件的一个错误甚至使黑客避免了这个问题:一个安全漏洞允许攻击者在要求输入用户名和密码时只需按下确定按钮,就能进入网络摄像头的界面。
像这样的漏洞是攻击者在试图入侵一个设备时寻找的东西。虽然制造商有时需要几个月的时间来发布补丁,但黑客们却在不分昼夜地扫描着漏洞。根据最近的研究,黑客在制造商发布被称为 "通用漏洞披露"(CVE)的披露报告的 15 分钟内开始寻找漏洞。你可以查看像 CVE 细节这样的网站,以检查你的设备是否存在常见的漏洞。
如果婴儿监视器被黑了,会发生什么?
由于婴儿监视器是如此容易的猎物,从无聊的青少年到疯子或潜在的窃贼都可能是攻击的幕后黑手。婴儿监视器被黑的案例很多,其背后的动机也是如此。
据报道,在一个案例中,一名黑客通过摄像头向一名儿童喊出了性暗示的短语,并威胁要绑架他。在另一起案件中,一名黑进婴儿监视器的男子告诉一个三岁的女孩,他"爱"她。
照片:Azamat E/Unsplash
已知有人入侵婴儿监视器并试图与儿童"交朋友"的案例。一位母亲声称,一个陌生人曾试图哄骗她两岁的孩子。一些施暴者更愿意把注意力放在父母身上。一名妇女说,她醒来时看到一个无线婴儿监视器正用一张小狗脸看着她。她还看到,显示器本身正在向她过去哺乳的地方移动。
虽然带有 Wi-Fi 的儿童监视器更有可能受到这种攻击,但数字和模拟监视器也不能幸免。但是,黑掉一个数字监视器是相当困难的:入侵者需要定位和跟踪设备的信号,靠近监视器,并获得一个特殊的监听工具。
攻击者可能不会干涉你的日常生活,而只是默默地观察你,了解你的更多情况,为闯入做准备。他们可能会保留视频记录,以便将来勒索你。或者利用婴儿监视器入侵同一网络上的其他智能设备。这种可能性是无限的,只取决于黑客有多狡猾和熟练。
小贴士:如何保护婴儿监视器
婴儿监视器是时时刻刻观察孩子的一个好方法。然而,婴儿监视器,特别是那些连接到互联网的监视器,不仅对婴儿有危险,而且对家庭中的每个人也有危险。如果你不想让陌生人进入宝宝的房间,请确保你的设备尽可能的安全。
安全是有层次的,有 Wi-Fi 的显示器往往比没有 Wi-Fi 的显示器更容易受到黑客的攻击。因此,如果你需要一个只能在家里工作的显示器,请选择没有 Wi-Fi 的显示器。它将通过非静态信道传输数据,而非静态信道更难被入侵。但如果你想从远处监督你的孩子,请遵循以下规则:
-
改变婴儿监视器制造商设置的默认登录和密码。创建一个不会在其他设备上使用的安全密码。定期更改密码,并记得删除不活跃的被邀请者。
-
选择一个值得信赖的制造商的婴儿监视器模型,它有内置的安全功能:双因素认证、强加密、Wi-Fi开/关按钮和基于权限的系统访问。
-
保持婴儿监视器软件的版本为最新版本。如果可能的话,向制造商注册你的设备,这样你就能在安全漏洞和召回事件发生时立即得到通知。
-
更新你的路由器固件,并将你的路由器的用户名和密码从出厂值中修改。
-
使用防火墙,它将作为你的本地家庭网络和世界网络之间的一个缓冲区。它可以过滤有害的流量并阻止来自外部的入侵企图。
-
分解你的 Wi-Fi 网络 - 为你孩子的婴儿监视器和其他智能家居设备创建一个单独的 Wi-Fi 和密码。
