close
專題特寫業界專訪資訊保安

【黑客實錄】竊聽風雲真實版!物聯網偷窺大門

在電影《竊聽風雲》裡,主角們用手機偷聽、偷窺的橋段看似很誇張,但如果筆者告訴你,電影其實比你想像中更寫實,你會否感到驚訝?近年時興物聯網,家中各款電器都要智能化,但原來這些連網裝置其實為黑客打開了大門,你可能在不為意間,已經被黑客竊聽偷窺過很多次了。

2014x

 

不管是《竊聽風雲》還是荷里活電影,電子偷窺、竊聽都是常見劇情。如果在十年、八年前,還比較像是幻想故事,但來到今天卻變成恐怖故事──因為這些手段可能不再是天外奇想,而是血淋淋的真實。以前各種裝置都未數碼化,也未有連上互聯網,但當物聯網(Internet of Everything, IOE)時代來臨後,其實已為黑客打開了方便之門,在公眾尚未意識到安全的期間,《竊聽風雲》真實版其實已經不斷在現實中上演。

竊聽、窺視手機畫面

在電影中,吳彥祖和古天樂為了成功竊聽,於是灌醉了劉青雲等人再偷換手機的 SIM 卡。其實要竊聽、窺視手機是否需要這樣?答案當然是否。但讀者可以放心的是,只要循規蹈矩的使用,不胡亂安裝不明來歷程式、為連網裝置加上自定的密碼,其實在大多數情況下都可以躲開很多不必要的風險。

早前 Unwire.pro 曾報道過,Android 有一個漏洞可讓程式開啟攝影機功能,而不讓使用者察覺得到。其原理是,Android 規定程式如調用拍攝功能便必須顯示拍攝畫面,但就沒限制畫面的大小。於是黑客便利用此漏洞,只要用戶允許程式擁有取用攝影機的權限,就能用 1×1 像素的極小畫面,令使用者不會發現下被偷偷窺視。

15812367_684698

 

電影裡古天樂一早已跟吳孟達飾演的地產 / 電訊商代表串通,可以竊聽劉青雲等人的電話。其實在真實世界也的確如此,事實上「勾線」並不新鮮,不過由於涉及很多法律問題,必須證明這樣做是合法的,而且也僅限於執法單位要求。不過更多情況是政府違法,例如稜鏡門事件中施諾登就踢爆美國政府有竊聽公民,以至外國元首的行為。

如果只是黑客是否就偷聽不到?不然。早前 Unwire.pro 也曾報道過,其實黑客只需要在智能手機裡安裝程式,就能開啟錄音功能監聽目標的說話,以至電郵、短訊或 Whatsapp 等通訊軟件。手機待機亦能用作竊聽器,錄音後等待連線時便自動上傳給黑客,如果手機是長時間連線狀態,做到 24 小時監聽也有可能,而且更不會被電影中的「反竊聽偵測器」發現。

02-590x393

 

不明來歷程式最危險

上述兩個案例都證明,惡意軟件是打開黑客竊聽、窺視的大門。其實大多數情況下,智能手機都是安全的,前題是不要胡亂安裝手機程式,也要保持良好的密碼保安習慣。為何這些入侵行為不會被電影中的「反竊聽偵測器」發現?因為這些行為都是得到使用者「批准」的。

惡意程式會偽裝成普通程式,可能是免費遊戲或是破解的收費程式,從而誘使人安裝。在安裝時一定會詢問是否允許軟件具備某些權限,理論上只應要求實際需要的權限,超出範圍的權限就應該小心。一般危險的權限如使用攝影機和咪高峰、讀取郵件或短訊內容等,如果輕忽下按了「同意」,其實就是授權黑客偷聽窺視而不自知。

為何偵測器不能發現?因為偵測器只是偵測可疑的電波訊號而已,智能手機連網不是很正常嗎?你又如何辨認出看似正常的通訊背後,其實是黑客在做手腳?因此最重要的是不要胡亂安裝不明來歷的程式,也應使用鎖機密碼避免他人在私下替你安裝惡意程式,最好安裝保安工具定期掃瞄以策萬全。

 

IP 攝影機黑客對罵

在電影裡除了手機上的竊聽,偷窺監察電視也是其中一環。先撇開電影中提到全數 IP Cam 都用 3G 上網的問題,其實目前市面上已有很多家用監察器具備連線功能,可以讓家長遙距監視家中的情況,由小孩或傭人的即時狀況,到外遊時監察家中狀況都能用得上。但問題是你能肯定自己的家居保安,不會被黑客入侵來監視你的一舉一動嗎?

「在美國俄亥俄州最近就有一宗案例,有家長半夜突然聽到 10 個月大的女兒房間傳來陌生男人聲音,大驚下衝入房間,發現有黑客入侵了房中的 IP Cam,爸爸更隔空跟黑客對罵,最後要立即拔走電線確保安全。」Network Box 董事總經理 Michael Gazeley 接受訪問時表示,案件雖然驚嚇,但卻絕對不是個別案例,其實在地下世界,這種事件每日都在發生。

bb

 

可能有些人覺得,自己只是一般人,不是名流有錢人,黑客為何會選上你?但其實個人私隱有價,可以用於勒索受害人或販賣。在地下世界其實有很多變態者,黑客會收集網絡上無做好保安的 IP Cam 資料,然後按年齡性別做成名單,再賣給孌童變態者。Michael Gazeley 警告家長,如果輕視這些 IP Cam 保安,你本意是希望保護子女,但結果卻變成害了他們,那就本末倒置了。

 

偷拍私隱片段勒索

除了用於這些犯罪用途,黑客更可能會直接把偷拍影像用於勒索受害人。去年歐洲刑警就破獲了犯罪集團,被捕者涉嫌設計、使用和銷售惡意程式 BlackShades,可用於控制受害人的 IP Cam 和電腦。售價 40 至 100 美元的 BlackShades,購買後黑客甚至可用附上的贖索信向受害人勒索。

據報破獲時該惡意程式已感染 100 多國逾 50 萬部電腦。去年美國美少女選美會(Miss Teen USA)冠軍 Cassidy Wolf 就是類似罪案的受害者,她便曾自爆收到過黑客的勒索電郵,聲稱入侵了她的電腦,透過視像鏡頭拍下了她在睡房的動靜。看到這兒,你還認為自己的私生活「沒有被黑客入侵偷取的價值」?最低限度,也把有鏡頭的數碼裝置移離最私人的空間吧!


攻擊智能電視試圖竊聽

當然,比較起來的確還是有錢人的私隱比較有偷竊的價值。在《竊聽風雲》系列就出現過,偷聽到一個股票號碼就賺了大錢的劇情。對黑客而言,偷窺上市公司老闆的價值當然比一般人更大,不僅可勒索得更多金錢,即使只是偷聽到半點內幕資訊都能賺取到極大的不法利益。

「有位香港上市公司的 CEO 在家中安裝了 Network Box 保安系統,結果發現一個月內竟有多達 33 萬次,試圖駭入他家中智能電視的紀綠!黑客試圖駭入智能電視的攝像機和咪高峰,目的就是希望偷聽這位 CEO 的日常對話。其實很多公司高層都關心公司的保安,但卻完全忽略家中。如果他們不把工作帶回家倒算了,但顯然這是不可能的。你能想像其實有多少上市公司老闆可能已被監聽而不知?」Michael 說。

unwire001

 

物聯網裝置更難修補已知漏洞

據市場研究公司 Gartner 預測,到 2020 年時物聯網設備數量將達到 260 億台。平均每三小時就有 100 萬台連網設備出現並連到互聯網,這些設備類型廣泛,由智能手機和平板電腦,到現在開始出現的穿戴式設備、智能燈具、智能雪櫃等,這些設備只要連上網路,其實都成為黑客入侵的對象。

「有些人以為這些設備不是電腦,不會那麼容易出事,但其實剛好相反。」Michael Gazeley 解釋:「這些裝置其實大多是採用 Linux 系統,換言之 Linux 有甚麼漏洞出現,它們都會有。電腦上很容易就能下載 Patch 安裝修正,但在這些平台誰去做?一般家居用家又懂不懂做?最後這些漏洞可能永遠沒有得到修補,成為黑客隨意入侵的渠道。」

thingful

 

2 億台裝置仍用出廠預設密碼

另一個問題是一般用家的保安意識太低。智能家居用品很方便,只要設定好連上家居的 Wi-Fi 網絡便成,有些甚至簡單得不用做甚麼設定,但這才是問題所在。SHODAN 是一個以 IP 為目標的搜尋引擎,記錄了全球不同連網裝置的 IP 紀錄。但根據紀錄,竟然全球有多達 2 億台連網裝置,仍然使用出廠的預設帳號和密碼,即「Admin」和「1234」。

「這是很難以置信的事。當人人都開始關心電腦保安的時候,竟然從來無人關注過這些設備的保安,是否符合最低限度的保安水平。」Michael Gazeley 表示,黑客甚至不用找尋系統漏洞,只需要在 SHODAN 搜尋就可以,隨便嘗試都能用 Admin 帳號入侵,予取予攜的程度令人咋舌。

smart-home-open-doors-hackers-670

 

裝置成為僵屍網絡成員

也許你覺得,危險的只是攝像鏡頭和咪高峰,智能燈具、雪櫃、微波爐、洗衣機、恆溫器、冷氣機大概沒甚麼破壞力,就算入侵了也無妨。但其實這也是天真想法。事實上,這些裝置一樣可對你的家居帶來損壞,也可能成為黑客借道攻擊的跳板,在不安全的物聯網世界,沒有任何連網裝置真的能倖免。

黑客調高你的微波爐、恆溫器輸出功率,其實隨時可令它發生爆炸意外,產生人命傷亡。美國前任副總統切尼甚至因為擔心黑客會攻擊他的心臟起搏器,因此要求醫生改為使用移除了智能無線連線功能的款式。當然對一般人而言這只是天荒夜談,哪個黑客會無端想殺害你呢(先撇開你那份保險金)?

5199268552744503401

 

其實更多的情況是利用你的連網裝置替黑客辦事。企業郵件保安服務商 Proofpoint 發表的報告就指出,從 2013 年 12 月 23 日到 2014 年 1 月 6 日,全球就有超過 10 萬台的連網設備成為發送垃圾郵件的罪魁禍首。其中包括了大量的媒體播放器、智能電視及一台冰箱,它們在該段期間總共發出了 75 萬份的垃圾郵件。

由於這些裝置容易入侵,也不易被發現受到控制,對黑客而言是上佳的僵屍電腦目標。甚麼是僵屍電腦已在以前的報道解釋過,對黑客來說,這些僵屍電腦可用於發送垃圾郵件,也可用於發動 DDoS 攻擊,受害者自己也很難發現甚至修復,當物聯網發展愈來愈大時,這些攻擊來源將會是很大的隱憂。

1390178018019

 

智能家居保安收費仍偏高

不管從一般消費者還是企業機構,防範未來在物聯網層面的保安漏洞顯得刻不容緩。在企業層面相對比較易處理,只要 IT 人員為物聯網設備修改密碼,並留意在防火牆和網關有沒有可疑的 IP 連線,已能解決很多的問題。但如果換成是中小企,以至一般家居就有很大的難題要處理。

「我們一直向企業,以至一般消費者解釋這問題,但不僅消費者並未意識到問題的嚴重性,延伸到家居的保安系統,也未成熟到可以降低服務費,到一般消費者也能接受的水平。」Michael Gazeley 坦承,畢竟保安裝置和保持服務水平的成本仍然偏高,就算是 3 年合約也仍需要 $900 月費,這對中小企和大公司高層而言不是難以負擔的水平,但一般家居就有點不現實。

當智能家居愈來愈流行,地產發展商也開始標榜新樓盤是智能大廈時,也許是一個切入的契機。Michael Gazeley 認為,如果地產商能為住戶提供中央的保安服務,就能大為減低成本,只需透過中央的網關和虛擬的網絡,就能讓住戶自由為自己的家居物聯網設定權限,再平均分攤到管理費等收費上,價格也能更「入門」。但他也坦承,當地產商自己也未有足夠重視問題時,要引入到旗下樓盤顯然還有很長的一段路。

unwire002

 

當離開到家居以外…

事實上,家居或公司的網關其實也只能保護到這些範圍內的裝置,當離開這些範圍時就未必能提供充足的保護。由智能手機、平板電腦,到穿戴式的眼鏡、手錶設備,以至採用電子導航的汽車,這些流動性大的裝置就更難提供防護。

Michael Gazeley 坦承,去到這層面的話目前能保護的方式不多,手機和平板還能透過安裝保安程式加強防護,但如果是汽車這類產品就有難度。「我想人類也應該反思,是否應該那麼依賴數碼科技,是否需要讓生活每一個層面都讓數碼科技介入。也許保持一些傳統生活方式,也是一種保安方法吧?」他說。

 

 

Tags :Internet of Thingsioe
Boris Lee

The authorBoris Lee

Unwire Pro 資深編輯,在企業 IT 科技報道範疇有十多年經驗。近年專注報導香港初創企業、本地資訊科技業界發展。

Leave a Response