看起来像个充电宝,其实是窃听器!央视曝光窃听黑色产业链:电商公开销售,还可“私人定制”
每经编辑:彭水萍
近日,江苏省南京警方摧毁了一条包括生产厂家、销售代理在内的生产销售定位、窃听、偷拍设备的网络黑色产业链条,抓获犯罪嫌疑人28名,缴获相关设备2000多个。警方调查发现,这些设备被生产者伪装成充电宝,可以在使用者不知情的情况下,被人远程定位、轨迹查询、远程录音等,涉嫌侵犯公民个人信息。
图片来源:央视网快看微博截图
窃听设备被伪装成充电宝,可远程定位录音
据央视新闻,今年2月,南京市公安局江宁分局网安大队接到群众举报,有人在网络上销售有定位和窃听等功能的充电宝,警方根据这条线索进行了深入调查,发现有厂家专门组装并销售此类产品,并且已经形成了生产、销售的网络黑色产业链。
图片来源:央视新闻
江苏省南京市公安局江宁分局网安大队大队长 王杨军: 这里面包括一个是生产的厂家,就是电子芯片的生产厂家、组装厂家;第二就是下面的一级代理,他们主要是从厂家那边进成品的产品,第二部分是进它的电子元器件来自己加改装,改装成市面上现在出现的这种不同形态的产品,通过网络平台来进行销售。
警方调查发现,这些设备被生产者伪装成充电宝,可以在使用者不知情的情况下,被人远程定位、轨迹查询、远程录音等,涉嫌侵犯公民个人信息。
图片来源:央视新闻
江苏省南京市公安局江宁分局网安大队民警 张哲: 它有一个自动录音的功能,就是在设备有电的情况下,手机App给它发送一条指令,让它可以自动录音。那么自动录音会在50分贝以上自动开启,然后以10秒一段的录音进行上传。当分贝达到50以下的时候,它关闭录音功能。它会自动对周围的音量进行识别。
南京警方从生产该设备的二级销售代理入手,一路追查到了负责运维后台网站的深圳某公司。今年7月,南京警方组织80余名警力赴深圳集中收网,捣毁生产销售犯罪窝点3个、运维网络平台1个,抓获犯罪嫌疑人28名,缴获定位、窃听设备2000余个,成功摧毁了包括生产销售定位、窃听、偷拍设备的网络黑色产业链条。
非法存储语音和定位文件,受害人遍及全国
被警方查获的这家企业,他们运维的网络平台上存储了大量非法收集的语音文件和定位文件,受害人遍及全国31个省、市、自治区。那么,这些经过伪装的充电宝到底是如何获取他人个人隐私信息的呢?
记者试着在网上购买了一部具备定位和窃听功能的充电宝,打开产品的包装盒后,里面除了一个充电宝和使用说明书以外,并没有其他多余的部件,另外,在这个充电宝上也没有任何品牌、生产批号等标识。
图片来源:央视新闻
记者按照说明书上的使用步骤,下载安装了相应的App,在里面可以看到设备当前所在的实时位置,以及设备的历史轨迹信息。为了验证这个充电宝是否具有窃听功能,记者和同事进行了使用测试。
总台央视记者: 现在是北京时间12月24日13点37分,我在和我同事做一个监听设备的测试,不知道他那边能不能听得到。
总台央视记者: 正在呼叫。
测试手机: 北京时间12月24日13点37分,我在和我同事做一个监听设备的测试,不知道他那边能不能听得到。
伪装充电宝可实时定位窃听持续录音
图片来源:央视新闻
记者在测试中发现,这个充电宝不仅能进行实时定位、窃听,而且还可以通过设置,实现不同时长的持续窃听录音。
网络安全专家 万仁国: 在这个设备里面我们可以添加这种可通话的白名单。所谓可通话的白名单就是说当我使用一台加入到白名单的手机,给这个设备去拨打电话的时候,那么这个设备会去响应拨打指令请求,并且它接通之后会把它当时周边的这种环境的声音全部实时回传。
万仁国告诉记者,当电量充足的情况下,这部定位和窃听设备就开始启动工作了,充电宝不仅是它的伪装外壳,而且还是供电的来源,而且在运行过程中不会产生任何声音和光线,具有很强的隐蔽性。
图片来源:央视新闻
网络安全专家 万仁国: 它实际上就是一个儿童手表的集成方案,正常的儿童手表是有一个屏幕,这个屏幕是能够触摸的,比如拨打电号码给谁谁谁,我要做什么,甚至拍照,这些功能都有,而在这个模块里它只保留它最基础功能。
通过拆解内部的零件可以看出,这个集成模块主要由GPS、Sim卡和麦克风等部件组成,记者通过查询这个Sim卡所对应的号码发现,这张卡属于物联网的专用号段,主要用于物流公司、智能设备厂家等企业,并不面向个人用户。
图片来源:央视新闻
网络安全专家 万仁国: 企业有特殊需求的时候,他可以去申请合理合法的这种使用需求的,有这么一张物联网的卡,可以实时把车辆的GPS的位置信息以及周边的环境信息上报到管理后台上面来,但是现在我们可以看到它的号段对吧,没有在正常的渠道去使用。
电商公开销售,窃听设备可“私人订制”
记者调查发现,目前各大电商平台上并没有限制定位窃听设备的售卖,而且很多商家还以“定位、远程听音”等关键词为噱头来吸引眼球,甚至有的商家还能提供私人订制,把具有定位和窃听功能的芯片植入各种电子设备中。
当记者输入“定位、远程听音”等关键词进行搜索后,电商平台中出现了大量相关的产品,这里面除了充电宝以外,手机充电插头、数据线等设备都变身成了定位窃听器。
记者点击进入了一个名为“柏林斯官方旗舰店”的店家,发现这里专营各类定位窃听设备,在一个数据线的产品页面上,被标注了醒目的“伪装”两个字,介绍中写到“精准定位”“专注监听”,而且还能“插卡即用”,这样一根具备定位和窃听功能的数据线售价348元。在产品的评价区,还有用户给出了“使用效果非常好”“很好很强大”等评价。
设备安装定位窃听芯片,价格翻多倍
记者发现,这些原本售价只有几十元至百元的产品,在经过伪装植入定位窃听功能后,价格往往就会翻很多倍,一个充电宝卖399元,一个手机充电插头甚至卖到709元。而除了售卖成品以外,一些商家甚至还有所谓的“私人订制”服务,就是用户把自己的物品寄给商家,由商家进行定位窃听芯片的植入安装。
图片来源:央视新闻
记者在电商平台试着联系了一个可以私人订制的商家,客服给记者提供了一个微信号,在聊天中,这个微信名为“定位之家”的商家声称,大部分电子产品都可以安装定位窃听芯片,费用基本都要上千元不等。记者在“定位之家”的微信朋友圈看到,被改装的除了手机、充电宝以外,还有苹果无线耳机、车载空气净化器等电子设备。
改装商家: 苹果的第二代蓝牙无线耳机完美无痕植入,出货。
改装商家: 已经帮你接好电了,你登录上去之后就通知我,我告诉你怎么操作。
据记者了解,根据2015年6月1日起实施的《禁止生产销售使用窃听窃照专用器材和“伪基站”设备的规定》,以伪装或者隐蔽方式使用,具有无线发射、接收语音信号功能的发射、接收器材,以及可遥控语音接收器材或者电子设备中的语音接收功能,获取相关语音信息,且无明显提示的器材(含软件),都属于窃听专用器材。
规定中明确,禁止自然人、法人及其他组织非法生产、销售、使用窃听窃照专用器材。尽管国家明令禁止,但是电商平台上还是可以公开销售定位窃听设备,而且还会通过用户的浏览记录,定向推送相关产品。
图片来源:央视新闻
中国政法大学传播法研究中心副主任 朱巍: 平台应该是有负有监管责任在里面,属于是违规或违法的产品,公然在平台上销售,对于平台落实的主体责任我觉得是不到位的。一方面是不能允许卖,另外一方面更不能在消费者在搜索相关产品的时候进行推荐。
生产销售使用窃听器材均是违法行为
法律专家介绍,电商平台对定位窃听设备的交易没有尽到“守土有责”的监管义务,另外,生产和销售窃听窃照的专用器材不仅违反了相关的监管规定,同时也触犯了法律,要承担相应的法律责任。
中国政法大学传播法研究中心副主任 朱巍: 首先生产销售这属于窃听窃照的专用器材,刑法上有一个特别的条款,就是刑法的283条,生产销售这种专用的窃听窃照设备本身就是一个犯罪。第二点如果有人买到或用特殊的渠道搞到手里去使用的时候,那么刑法284条也有一个特殊的规定,就是非法使用窃听窃照这样的设备本身也是一种犯罪。
图片来源:央视新闻
法律专家介绍,所有人的私密空间、行为以及信息都是受到相关法律保护的,如果在别人不知情的情况下安装、使用定位窃听设备,是典型的侵害隐私权和侵害个人信息权的违法行为。
中国政法大学传播法研究中心副主任 朱巍: 现在我们生活在互联网的世界之中,安全是第一位的,那么这种安全一方面是网络安全,另外一方面是技术安全。技术的发展绝对不是说发展的这些设备就可以去破坏人的这种安全感和自由感,这是相反的,所以在这个领域的技术是不能发展的,法律要进行遏制的。
专家建议,对于目前网络上存在的这种乱象,监管部门要督促电商平台加强事前、事中监管,严格把关,同时平台要进一步加强技术手段进行监控和防范,维护网络生态健康,保护我们每个人的个人信息安全。
来源:每日经济新闻综合央视新闻、央视网快看微博
每日经济新闻
腾讯安全团队破解亚马逊智能音箱Echo,可远程窃听并录音
北京时间8月13日,在美国拉斯维加斯举行的第26届全球黑客大会Defcon上,来自腾讯安全平台部的Tencent Blade Team,现场演示了如何破解全世界最畅销的智能音箱——亚马逊智能音箱Amazon Echo。
现场,Tencent Blade Team成功利用亚马逊Echo系统中的多个漏洞完成破解,实现了远程窃听。
据悉,腾讯已在今年5月将完整的漏洞细节报告给了亚马逊安全团队,亚马逊已经在今年7月对所有漏洞全部修复,并对Echo软件进行了自动更新。
在人工智能和物联网技术飞速发展的今天,人们可以通过纯语音聊天的方式与智能音箱进行互动,智能音箱就可以帮助用户打电话、叫车、预定行程,还能通过语音交互“指挥”其他硬件,如控制照明开关、家用电器、甚至智能门锁等。
Tencent Blade Team方面表示,因为智能音箱具备监听的功能特性,一直以来人们也十分担心其安全性,一旦智能音箱被黑客攻击,人们的隐私安全将受到威胁,所以选择了全球用户量最大的亚马逊Echo作为研究目标。
作为全世界最受欢迎的智能音箱之一,亚马逊安全团队给Echo设置了多重严密的安全防御机制,包括通信流量加密与认证、防火墙、严格的SELinux安全策略等。因此,长期以来,亚马逊的产品一直处于安全研究人员的“高难度黑名单”上。
但在物联网中,任何智能设备都可以连接到互联网并产生相互交互。这意味着,一旦其中某一个设备成为黑客攻击目标,攻破后将对整个物联网造成致命威胁。
这次对于亚马逊Echo智能音箱的破解,正是基于该原理。
经过数月的研究,研究团队发现,一个名为whad(whole-home audio daemon)的系统程序会开放端口,允许多个亚马逊Echo设备相互连接,并且拥有root权限,在系统严格的安全策略限制下,仍然可以访问网络与通过mediaserver进行录音与播放音频。经过分析,这个程序存在堆溢出与信息泄露漏洞,利用这些漏洞成功实现在局域网获取Echo的有限制的root权限。
Tencent Blade Team表示,利用亚马逊允许旗下多个设备互联的这一系统机制,将植入攻击程序的恶意设备绑定到同个账户下,就能实现对亚马逊Echo智能音箱的破解。经过多次试验,Tencent Blade Team不仅可以远程控制亚马逊Echo进行录音,还能将录音文件通过网络发送给远程服务器。
Tencent Blade Team表示,该漏洞存在于所有第二代亚马逊Echo设备,是否适用于其他厂商的智能音箱设备,他们还在研究中。
亚马逊表示对安全十分重视,感谢腾讯协助修复这些安全漏洞,“亚马逊Echo用户无需采取任何措施,因为他们的设备已使用安全修复程序自动更新。”
“科技的发展从来都是把双刃剑,针对物联网的安全研究却远没达到与其发展速度和规模相匹配的水平。我们公开对这些智能设备的研究,也是希望引起大家对物联网安全的关注。”Tencent Blade Team负责人表示。
DefCon素有安全界“奥斯卡”之称,是全球安全领域最具影响力、也是历史最悠久的顶级会议之一,今年吸引超过数万人出席。
Tencent Blade Team由腾讯安全平台部创立,专注于前沿安全攻防技术研究,致力于将安全技术前沿领域的研究成果广泛应用于腾讯公司各个业务的互联网安全之中。在过去的两年时间里,Blade发现了谷歌、苹果、亚马逊、微软等多个国际知名厂商80多个安全漏洞。
相关问答
录音器远程控制有距离要求吗?
没有。远程控制指通过联网PC计算机或移动手机,自动发送外设控制指令,这就是所谓的远程自动控制。远程自动控制主要为异地管理人员提供监控手段,通过人工判断...
可不可以远程收听家里录音器的录音?
不知道你说的录音器是什么东西,但至少能够连接到网络!不知道你说的录音器是什么东西,但至少能够连接到网络!
手机可以远程录音吗?
可以的。手机设定成远程录音的方法:打开手机录音权限的操作步骤如下:打开手机-设置-权限管理-权限-启用录音-打开想要打开录音权限的APP即可。具体的操作...
gps录音器如何远程听到录音?
1.录音器不能远程控制,它是一个录音设备,其实类似以前的录音机,只是体积缩小,2.具体其他应用,比如采访设备,很小的像MP3一样的设备,还可以去除背景噪音,...1...
gps定位器远程录音怎么使用?
汽车GPS定位器一般都具有实时监控定位、轨迹查询、报警通知、电子围栏等功能。而随着定位技术的愈发成熟,市场上的定位器也拥有了越来越丰富的功能,例如部分定...
录音器远程录音藏哪里最好?
录音器远程录音最好藏在不易被发现的地方,如家具的内部或墙壁的后面。将录音器藏在不易被察觉的地方有以下几个原因。首先,这样可以确保录音器不会被人发现和...
淘宝上卖的远程定位录音可靠吗?
淘宝上卖的远程定位录音可靠定位器内置录音模块及MIC头,录音模块具备音频数据处理与存储功能,MIC用于采集声音并传输至录音模块进行音频数据处理与存储。需要...
手机里面可以装远程录音笔吗?
一般的普通手机是不可以装远录音笔的。如果你需要装远程录音笔的话,那需要专程的手机,普通的手机是不可以完成这个任务的。普通的手机只能在跟前具体到位的情...
天猫精灵可以远程录音吗?
天猫精灵没有录音功能。录音即是将声音信号记录在媒质上的过程。将媒质上记录的信号重放出声音来的过程称为放音。录音和放音两过程合称录放音。天猫精灵(Tmal...
手机远程录音怎么弄?
手机怎么远程监控录音的方法如下是;1、首先要将两个手机绑定同一个手机号。2、其次在手机录音中找到自己需要发送的录音。3、然后通过手机远程操纵别人的手...
