印度507款認證攝像頭剛通過審核，間諜已經用上第508種

3月14日，印度警方在首都新德里隔壁的加濟阿巴德市抓了人。罪名不常見：往鐵路站和基礎設施旁邊裝太陽能攝像頭，畫面實時流向巴基斯坦。

這批設備靠蜂窩網絡傳數據，用的可能是盜來的SIM卡。警方順藤摸瓜，發現全國多地都有類似布置，全盯著關鍵基礎設施。印度官方的說法是，巴基斯坦背景的人員招募了印度公民完成安裝。

兩個核武國家去年剛打過一仗，互相指責對方資助恐怖主義是日常操作。但這次事件戳中了一個更敏感的痛點——新德里對自己最大對手的防御，可能漏成了篩子。

攝像頭成了特洛伊木馬

印度內政部已經下令：全國所有CCTV攝像頭，統統審計一遍。這個決定的潛臺詞很直白——當局擔心被滲透的不只是那幾臺被抓現行的設備。

這種擔心有技術依據。監控攝像頭向來是物聯網安全的重災區，大量設備跑著漏洞百出的Linux版本，Mirai僵尸網絡當年就是靠感染這些設備搞癱了大半個美國互聯網。

印度政府事后發聲明，強調本國對攝像頭銷售有認證標準，目前已批準507款設備上市，政府單位必須采購名單內的產品。標準里專門檢查了"未授權遠程訪問"這類漏洞。

但聲明里埋著一個尷尬的注腳：間諜顯然不受這份名單約束。

實名制SIM卡的失效邊界

這起案件還暴露了一項政策的局限性。印度法律要求所有用于聯網設備的SIM卡必須實名登記，本意是追溯責任、封堵匿名通信渠道。

但盜用SIM卡這個細節說明，登記制度防得了正規廠商，防不了有心繞路的人。太陽能供電+蜂窩傳輸的組合，讓這批攝像頭完全擺脫了固定電源和有線網絡的束縛，部署靈活得像外賣騎手換電柜。

印度媒體沒有披露具體有多少臺設備被植入，也沒說畫面流傳了多久。這些數字的缺失本身就很說明問題——要么調查還在進行，要么當局不想公開損失規模。

物聯網安全的經典困境

把攝像頭變成間諜工具，技術門檻比多數人想象的低。很多廉價設備出廠帶著默認密碼，固件從不更新，管理后臺直接暴露在互聯網上。攻擊者不需要多高超的技術，只需要比設備主人更勤快一點。

印度政府的507款認證清單，試圖從供應鏈端解決問題。但認證只管合法銷售，管不了走私、改裝、或者干脆自己組裝的設備。太陽能板、4G模塊、樹莓派，電商平臺上湊齊一套的成本可能不到兩千塊。

更棘手的是，認證標準永遠滯后于攻擊手法。今天查的是未授權遠程訪問，明天可能出現新的漏洞類型。507這個數字，明年可能變成600，也可能因為發現系統性漏洞而大幅縮減。

印度和巴基斯坦的諜戰歷史悠長，手段從人力情報升級到網絡攻擊，再到現在的物聯網滲透。攝像頭只是最新的載體，未來可能是智能電表、車載終端、或者工業傳感器。

內政部的全國審計能查出多少問題？認證清單會不會擴容或收緊？間諜們已經在測試第508種設備了嗎？