印度507款認(rèn)證攝像頭剛通過審核，間諜已經(jīng)用上第508種

3月14日，印度警方在首都新德里隔壁的加濟(jì)阿巴德市抓了人。罪名不常見：往鐵路站和基礎(chǔ)設(shè)施旁邊裝太陽能攝像頭，畫面實時流向巴基斯坦。

這批設(shè)備靠蜂窩網(wǎng)絡(luò)傳數(shù)據(jù)，用的可能是盜來的SIM卡。警方順藤摸瓜，發(fā)現(xiàn)全國多地都有類似布置，全盯著關(guān)鍵基礎(chǔ)設(shè)施。印度官方的說法是，巴基斯坦背景的人員招募了印度公民完成安裝。

兩個核武國家去年剛打過一仗，互相指責(zé)對方資助恐怖主義是日常操作。但這次事件戳中了一個更敏感的痛點——新德里對自己最大對手的防御，可能漏成了篩子。

攝像頭成了特洛伊木馬

印度內(nèi)政部已經(jīng)下令：全國所有CCTV攝像頭，統(tǒng)統(tǒng)審計一遍。這個決定的潛臺詞很直白——當(dāng)局擔(dān)心被滲透的不只是那幾臺被抓現(xiàn)行的設(shè)備。

這種擔(dān)心有技術(shù)依據(jù)。監(jiān)控攝像頭向來是物聯(lián)網(wǎng)安全的重災(zāi)區(qū)，大量設(shè)備跑著漏洞百出的Linux版本，Mirai僵尸網(wǎng)絡(luò)當(dāng)年就是靠感染這些設(shè)備搞癱了大半個美國互聯(lián)網(wǎng)。

印度政府事后發(fā)聲明，強(qiáng)調(diào)本國對攝像頭銷售有認(rèn)證標(biāo)準(zhǔn)，目前已批準(zhǔn)507款設(shè)備上市，政府單位必須采購名單內(nèi)的產(chǎn)品。標(biāo)準(zhǔn)里專門檢查了"未授權(quán)遠(yuǎn)程訪問"這類漏洞。

但聲明里埋著一個尷尬的注腳：間諜顯然不受這份名單約束。

實名制SIM卡的失效邊界

這起案件還暴露了一項政策的局限性。印度法律要求所有用于聯(lián)網(wǎng)設(shè)備的SIM卡必須實名登記，本意是追溯責(zé)任、封堵匿名通信渠道。

但盜用SIM卡這個細(xì)節(jié)說明，登記制度防得了正規(guī)廠商，防不了有心繞路的人。太陽能供電+蜂窩傳輸?shù)慕M合，讓這批攝像頭完全擺脫了固定電源和有線網(wǎng)絡(luò)的束縛，部署靈活得像外賣騎手換電柜。

印度媒體沒有披露具體有多少臺設(shè)備被植入，也沒說畫面流傳了多久。這些數(shù)字的缺失本身就很說明問題——要么調(diào)查還在進(jìn)行，要么當(dāng)局不想公開損失規(guī)模。

物聯(lián)網(wǎng)安全的經(jīng)典困境

把攝像頭變成間諜工具，技術(shù)門檻比多數(shù)人想象的低。很多廉價設(shè)備出廠帶著默認(rèn)密碼，固件從不更新，管理后臺直接暴露在互聯(lián)網(wǎng)上。攻擊者不需要多高超的技術(shù)，只需要比設(shè)備主人更勤快一點。

印度政府的507款認(rèn)證清單，試圖從供應(yīng)鏈端解決問題。但認(rèn)證只管合法銷售，管不了走私、改裝、或者干脆自己組裝的設(shè)備。太陽能板、4G模塊、樹莓派，電商平臺上湊齊一套的成本可能不到兩千塊。

更棘手的是，認(rèn)證標(biāo)準(zhǔn)永遠(yuǎn)滯后于攻擊手法。今天查的是未授權(quán)遠(yuǎn)程訪問，明天可能出現(xiàn)新的漏洞類型。507這個數(shù)字，明年可能變成600，也可能因為發(fā)現(xiàn)系統(tǒng)性漏洞而大幅縮減。

印度和巴基斯坦的諜戰(zhàn)歷史悠長，手段從人力情報升級到網(wǎng)絡(luò)攻擊，再到現(xiàn)在的物聯(lián)網(wǎng)滲透。攝像頭只是最新的載體，未來可能是智能電表、車載終端、或者工業(yè)傳感器。

內(nèi)政部的全國審計能查出多少問題？認(rèn)證清單會不會擴(kuò)容或收緊？間諜們已經(jīng)在測試第508種設(shè)備了嗎？