3月14日,印度警方在首都新德里隔壁的加济阿巴德市抓了人。罪名不常见:往铁路站和基础设施旁边装太阳能摄像头,画面实时流向巴基斯坦。
这批设备靠蜂窝网络传数据,用的可能是盗来的SIM卡。警方顺藤摸瓜,发现全国多地都有类似布置,全盯着关键基础设施。印度官方的说法是,巴基斯坦背景的人员招募了印度公民完成安装。
两个核武国家去年刚打过一仗,互相指责对方资助恐怖主义是日常操作。但这次事件戳中了一个更敏感的痛点——新德里对自己最大对手的防御,可能漏成了筛子。
摄像头成了特洛伊木马
印度内政部已经下令:全国所有CCTV摄像头,统统审计一遍。这个决定的潜台词很直白——当局担心被渗透的不只是那几台被抓现行的设备。
这种担心有技术依据。监控摄像头向来是物联网安全的重灾区,大量设备跑着漏洞百出的Linux版本,Mirai僵尸网络当年就是靠感染这些设备搞瘫了大半个美国互联网。
印度政府事后发声明,强调本国对摄像头销售有认证标准,目前已批准507款设备上市,政府单位必须采购名单内的产品。标准里专门检查了"未授权远程访问"这类漏洞。
但声明里埋着一个尴尬的注脚:间谍显然不受这份名单约束。
实名制SIM卡的失效边界
这起案件还暴露了一项政策的局限性。印度法律要求所有用于联网设备的SIM卡必须实名登记,本意是追溯责任、封堵匿名通信渠道。
但盗用SIM卡这个细节说明,登记制度防得了正规厂商,防不了有心绕路的人。太阳能供电+蜂窝传输的组合,让这批摄像头完全摆脱了固定电源和有线网络的束缚,部署灵活得像外卖骑手换电柜。
印度媒体没有披露具体有多少台设备被植入,也没说画面流传了多久。这些数字的缺失本身就很说明问题——要么调查还在进行,要么当局不想公开损失规模。
物联网安全的经典困境
把摄像头变成间谍工具,技术门槛比多数人想象的低。很多廉价设备出厂带着默认密码,固件从不更新,管理后台直接暴露在互联网上。攻击者不需要多高超的技术,只需要比设备主人更勤快一点。
印度政府的507款认证清单,试图从供应链端解决问题。但认证只管合法销售,管不了走私、改装、或者干脆自己组装的设备。太阳能板、4G模块、树莓派,电商平台上凑齐一套的成本可能不到两千块。
更棘手的是,认证标准永远滞后于攻击手法。今天查的是未授权远程访问,明天可能出现新的漏洞类型。507这个数字,明年可能变成600,也可能因为发现系统性漏洞而大幅缩减。
印度和巴基斯坦的谍战历史悠长,手段从人力情报升级到网络攻击,再到现在的物联网渗透。摄像头只是最新的载体,未来可能是智能电表、车载终端、或者工业传感器。
内政部的全国审计能查出多少问题?认证清单会不会扩容或收紧?间谍们已经在测试第508种设备了吗?
热门跟贴