女大学生电脑被植入偷窥软件,一举一动被“直播”!同寝女生换衣服也被拍下
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
加微信群或QQ群可免费索取:学习教程
教程列表见微信公众号底部菜单
往期同类文章回顾点下面链接
自己一举一动都在对方监控之下
而且被拍成了视频……
如此细思恐极的情形离你很远吗?
女孩电脑被植入偷窥软件
19岁的辽宁大连女孩肖婷(化名)在外地读大学。今年国庆节期间,肖婷回到大连与家人团聚。在外地读书期间,肖婷的笔记本电脑出现故障,无法正常开机。
趁着过节回家的工夫,肖婷把电脑送到大连鞍山路一家售后服务站去维修。没过几天,电脑修好了,肖婷把它取走,使用时没有什么异样。
12月6日,人在外地的肖婷突然接到大连警方打来的电话。民警告诉肖婷,她的电脑里被人安装了偷拍软件,可以远程控制电脑摄像头!起初,肖婷还以为遇到了骗子。她经过核实,才发现民警说的都是真的!
女生换衣服被拍视频
肖婷接到警方电话后,返回大连到公安机关做了笔录。民警向肖婷出示了“黑客”偷拍的视频,她惊讶得脊背发凉:她在女生寝室里的一举一动,被人拍下了视频,都“直播”出去了!瞬间,她觉得既屈辱又愤怒,“没想到一直有双眼睛在背后偷窥。”此外,同寝女生换衣服的场景也被拍了下来……
根据肖婷掌握的情况,植入偷窥软件的正是售后服务站的维修工程师,目前此人已经被警方控制。据悉,此案受害女孩不止一人,警方仍在抓紧调查取证。其中,有的女孩接到民警电话后,以为对方是骗子,不配合民警的调查。
12月10日,记者联系了涉事的售后服务站,但负责人未就此事进行回应。不过,有知情人称,此事系涉事维修工程师的个人行为。
植入偷窥软件主要有三种方式
女生请学长帮忙修电脑,未料被植入偷窥软件,导致女生隐私暴露;酒店客人洗澡时,意外发现洗澡画面被“直播”,原来是黑客入侵了客房电脑……近年来,在智能生活概念兴起的同时,类似的违法案例也是屡见不鲜。
去年,一份中国首份智能摄像头安全报告显示:八成摄像头存在设计漏洞,家庭隐私生活可能被放在网上直播。当年,央视3·15晚会也曝光了黑客远程控制智能摄像头的隐患。
那么,偷窥软件是如何植入电脑中去的?对此,记者采访了网络安全工程师李晨。李晨说,主要方式有三种:
一种是在网页里绑定程序,比如在一些色情网站,看影片需要下载播放器,里面绑定了非法软件,播放器下好了,电脑也被远程控制了;
第二种是给目标发送一些链接,对方在电脑里点击链接后,无意间下载软件;
还有一种是直接到别人电脑上安装软件。
李晨说,市民要格外注意的是,网上流行的远程控制木马几乎都带有发送指令启动摄像头、录制视频等偷拍功能,这类木马大多伪装成一些热门的网络资源,比如图片、视频种子、游戏外挂等,诱骗人们下载运行。此外,有些不法分子会针对特定目标发送文件,利用欺诈手段植入木马。
如何知道电脑被远程监控了?
李晨表示,一般监控软件要做到实时监控电脑,必须跟随系统启动。如果是网络远程监控的话,还会发起网络连接。通过这两点一般可以找到此软件。
1、打开任务管理器查找所有启动的进程,判断是否是系统进程和安装了软件的进程。通过安装第三方任务管理,可以查看进程的名称、对应的文件和作用。如发现可疑进程便可通过对应的程序删除或卸载。
2、如果是网络监控,同样会访问网络。可以查找哪些可疑程序在访问网络,并禁止可疑程序访问网络。
李晨说,对于普通用户来讲,查找监控软件确实比较困难,建议到专业机构查杀。
智能时代,如何防范被窥探隐私?
1、 摄像头不用时应注意遮挡,笔记本电脑不用时最好合上。要尽量保障电脑不中木马,包括及时打补丁修复漏洞,不轻易打开来源可疑的文件,安全软件报警时按提示查杀木马。
2、 购买智能摄像头时要选择知名厂家,通过正规渠道购买,切勿贪图便宜,购买“三无”产品。相对而言,大品牌的技术实力更强,在售后服务上也更有优势,能够提供较高的安全性。
3、 及时修改设备的初始密码。简单的密码更容易遭到黑客的破解,用户应使用较强的密码并定期更换,才能更好的保护隐私安全。
4、摄像头尽量不要对准卧室、卫生间等极度隐私的场所。如果摄像头带旋转功能,要确保它转来转去也看不到不该看的东西。
5、在使用过程中发现任何异常,要及时停止使用,联系专业人士进行检修。
案例
张女士:客厅照片外泄被挂网上 照片角度和手机APP上画面一模一样
今年3月末,北京市海淀区的张女士和老公通过网站购买了一组某知名品牌的远程监控摄像头,并安装在客厅、卧室、厨房等多个位置。
然而,就在今年4月中旬,张女士却无意间发现自家客厅的截图被挂在网页上。张女士称,在此之前,她和家人从来没邀请或允许任何网站的人到家中拍照片,“照片的角度就是从挂摄像头的位置拍摄的,而且画质、颜色都和手机APP上的实时画面一模一样。”
此后,张女士设法与该网站取得了联系,对方很快将网上照片删除。“对方说,图片不是他们拍摄的,而是从网上下载的,我继续追问图片来源,对方拒绝回答。”
“我们怀疑和家里装的摄像头有关。”无奈之下,张女士只能将所有摄像头和相应的手机APP全部卸载。
实验
破解代码可窃取实时画面 且清晰度高
昨天下午,实验室安全研究员王先生,为记者演示了通过软件漏洞获取已绑定手机用户摄像头实时画面的全过程。记者发现,王先生所使用的工具仅为一台已经联网的电脑,一部手机以及一段自行编写的代码。
演示过程开始前,王先生首先在手机上下载了某品牌家用摄像头的APP软件,随后注册账号,但并没绑定任何摄像头,此时其页面中摄像头列表显示为空。
电脑输入代码后通过手机观看
随后,王先生在电脑软件上输入刚刚注册的账号、密码,并在电脑上运行其编写的代码。随着代码的运行,手机APP页面上立即出现多个摄像头监控画面的预览图,且随着时间的推移数量逐渐增多,随机点开其中一个,经过短暂加载,摄像头远程传输的画面开始播放,且清晰度相当高,甚至可以辨别用户家电视中播放的电视画面。除此,在代码脚本运行过程中,大量用户注册时使用的手机号码也一同显示在屏幕上。
王先生表示,通过视频中的不同场景可以明显看出,这些画面并不仅限于某一个用户安装的摄像头的拍摄画面。“如果需要的话,(别有用心的人)可以将所有注册此APP的用户信息全部弄出来,然后根据单个用户的手机号码定位到某个特定用户身上”,从而实施针对性极强的个别用户信息窃取活动。而只要轻轻点击手机APP软件上的录制按钮,盗取的画面就会轻松地保存下来。
结论
八成家用摄头存在安全漏洞 可随时获取摄像头图像、语音信息
安全研究员王先生告诉记者,从测试结果来看,目前,有关视频画面泄露的问题主要集中在摄像头软件云端逻辑漏洞和手机APP软件漏洞两个方面,“其他可能导致信息泄露的问题也存在,但是相比之下数量较少。”
王先生所在的实验室在对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。
通过手机能看到别人家的摄像内容
据安全工程师刘健皓介绍,这些安全缺陷的存在让接入网络的摄像头可以轻易被不法分子控制,随时获取摄像头的图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播。
刘健皓解释,从理论上讲,通过手机远程查看到摄像头内容,必须通过注册,甚至要求“一对一”。但是,个别品牌的摄像头与手机进行连接时,并没有对手机身份进行验证,这是一个非常严重的漏洞。黑客可以通过漏洞,用一个虚拟的(端口)绑定就可以查看数百个摄像头实时画面,而出现此漏洞的摄像头至少有数十款,其中包括了一些著名品牌。
建议
安全工程师:使用家用智能摄像头 这三点要注意!
针对如何能够保障用户使用家用智能摄像头拍摄的个人隐私不被泄露的问题,软件安全工程师提醒广大用户。
第一,在购买摄像头时,应对所选品牌进行一些调查,可以通过互联网查询与目标品牌相关的帖子或报道,“目的就是找到一个口碑不错,价格也合适的品牌”。
第二,在使用时,要注意设置一定强度的密码,及时关注摄像头软件的提醒。如果绑定的手机上发现了请求验证码的短信,就应该立刻修改密码。
第三,经常登录摄像头进行查看,如发现实际拍摄角度与安装时发生变化等情况,就需要考虑自己的账号安全了。同时,要关注所用品牌摄像头安全方面的消息,如果发现设备漏洞应停止使用,等待厂家更新,并保证所使用的摄像头软件是最新版本。
有关部门须建立摄像头安全标准
与此同时,安全工程师还针对家用智能摄像头行业提出了建议。首先,有关部门亟须建立一套针对智能摄像头的信息安全标准。其次,建议智能硬件开发商建立自己的运营平台,以保护消费者的数据安全,及时发现并阻断黑客的攻击。最后,需要制定一套有效的应急响应预案,确保在安全漏洞出现后,能够快速响应,并最大程度降低用户的损失。
说法
偷窥侵犯个人隐私算犯法
根据我国治安管理处罚法的相关规定,偷窥、偷拍、窃听、散布他人隐私的,处5日以下拘留或者500元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处500元以下罚款。如通过偷窥形式获得的他人私密照片,并上传到网络平台,或者出售获利的,将涉嫌构成刑事犯罪。另外,被侵权人有权向侵权人主张民事赔偿责任。