導(dǎo)讀:未來是屬于物聯(lián)網(wǎng)的時代,智能家居產(chǎn)品的種類在未來也會呈現(xiàn)爆發(fā)式增長。目前,在智能家居產(chǎn)品中,智能音箱只是其中的一種產(chǎn)品,智能門鎖、智能攝像頭也離人們的日常生活越來越近。但是無一例外,這些產(chǎn)品都出現(xiàn)了很多產(chǎn)品漏洞以及涉及用戶敏感數(shù)據(jù)的問題。根據(jù)今年質(zhì)檢總局的數(shù)據(jù)來看,八成以上的攝像頭存在安全風(fēng)險。
此前,亞馬遜的Alexa智能語音助手被爆出監(jiān)聽用戶談話內(nèi)容,一波未平一波又起,近日,一位使用Alexa語音助手的國外用戶在詢問心動周期的問題的時候,Alexa給出了讓人毛骨悚然的答案:
“心跳是人體最糟糕的過程。人活著就是在加速自然資源的枯竭,人口會過剩的,這對地球是件壞事,所以心跳不好,為了更好,請確保刀能夠捅進(jìn)你的心臟?!?/p>
而亞馬遜則回應(yīng)這是一個BUG,其實早在這之前,Alexa就存在很多BUG,例如,拒聽用戶指令和發(fā)出怪異的聲音。據(jù)筆者了解,這些所謂的BUG,內(nèi)容其實都來源于維基百科,就是那個在國外火的一塌糊涂而國內(nèi)卻不能使用的類似于百度百科的網(wǎng)絡(luò)百科全書平臺。由于Alexa作為AI產(chǎn)品需要不斷地錄入數(shù)據(jù)進(jìn)行自我學(xué)習(xí),所以Alexa接入了維基百科的內(nèi)容,通過里面的內(nèi)容與用戶進(jìn)行交互。但是,需要指出的是,維基百科的內(nèi)容是任何用戶都可以進(jìn)行編輯的,難免會有一些惡意和劣質(zhì)內(nèi)容,而Alexa無法進(jìn)行內(nèi)容質(zhì)量識別,BUG也就顯現(xiàn)了。當(dāng)然,整個事件看起來并沒有造成很嚴(yán)重的后果,但是我們可以看到智能音箱以及更多的智能家居產(chǎn)品背后,依舊存在著巨大的BUG以及隱私問題,這樣的BUG一旦被不法之人掌握,甚至還有可能引發(fā)更大的安全問題。
智能音箱存在的漏洞和安全問題
還是以亞馬遜的Alexa為例,Alexa目前最主要的載體是亞馬遜2014年發(fā)布的Echo智能音箱,雖然Echo后續(xù)也有產(chǎn)品迭代,但是Echo作為智能家居硬件依然還是用來遠(yuǎn)程遙控開燈、鎖門、調(diào)整溫控器等。這其中就需要其他公司將自家第三方應(yīng)用程序與Echo連接,準(zhǔn)確來說,應(yīng)該是Alexa,進(jìn)而在應(yīng)用商店中供用戶使用。剛剛上面所說的官方錄音和劣質(zhì)內(nèi)容BUG,威脅其實是在可控的范圍內(nèi)。而目前,暴露的最大問題就是在第三方應(yīng)用程序上。
最近,德國安全研究實驗室(SRlabs)公布了他們針對亞馬遜以及谷歌智能音箱做的黑客攻擊方案研究結(jié)論,他們開發(fā)的八個“黑客”應(yīng)用程序被偽裝成常用的星座查詢應(yīng)用和隨機數(shù)生成器,無一例外的全部通過兩家公司智能音箱的安全審核,成功入駐應(yīng)用商店。
接下來,更為恐怖的事情出現(xiàn)了。通過亞馬遜提供的標(biāo)準(zhǔn)開發(fā)接口,SRlabs的研究人員可以請求并收集包括用戶密碼在內(nèi)的個人數(shù)據(jù)以及在用戶認(rèn)為智能音箱停止收聽后繼續(xù)竊聽用戶。具體來說,在Alexa響起結(jié)束音后,上述的“黑客”應(yīng)用程序并未真的停止,而是在繼續(xù)工作,這樣的操作并未被亞馬遜和谷歌抓包。
問題其實都是有目共睹的,就在前不久,中國信息通信研究院發(fā)布了《2019互聯(lián)網(wǎng)設(shè)備-智能音箱安全白皮書》。在白皮書中列舉出了智能音箱十大安全風(fēng)險,涉及到企業(yè)過度收集用戶信息,個人信息(操作記錄、對話記錄)未加密或采用弱加密方式,設(shè)備硬件調(diào)試接口暴露以及敏感信息提取風(fēng)險,系統(tǒng)更新機制問題,惡意應(yīng)用靜默安裝風(fēng)險,會話劫持風(fēng)險,惡意代碼植入風(fēng)險以及漏洞引發(fā)的跳板攻擊其他互聯(lián)設(shè)備。
智能家居安全何去何從
未來是屬于物聯(lián)網(wǎng)的時代,智能家居產(chǎn)品的種類在未來也會呈現(xiàn)爆發(fā)式增長。目前,在智能家居產(chǎn)品中,智能音箱只是其中的一種產(chǎn)品,智能門鎖、智能攝像頭也離人們的日常生活越來越近。但是無一例外,這些產(chǎn)品都出現(xiàn)了很多產(chǎn)品漏洞以及涉及用戶敏感數(shù)據(jù)的問題。根據(jù)今年質(zhì)檢總局的數(shù)據(jù)來看,八成以上的攝像頭存在安全風(fēng)險。
此前曝光的家庭攝像頭照片泄露
倒買倒賣用戶賬號
要知道,智能家居的大部分產(chǎn)品是沒有自帶防火墻的功能,任何黑客都可以通過某一種智能家居去破解家庭所有的互聯(lián)設(shè)備。尤其是智能音箱,它作為智能家居的中控平臺,對于家庭物聯(lián)網(wǎng)有著舉足輕重的作用。如果不在安全性上加強研發(fā),對于用戶和整個智能音箱行業(yè)的發(fā)展來說,百害而無一益。
從用戶方面來說,對于密碼的設(shè)定、系統(tǒng)的及時更新、設(shè)備的權(quán)限控制這些是需要加以重視的。而我們更需要從源頭,行業(yè)和企業(yè)的層面去保護用戶和整個社會的安全。
其實,國內(nèi)關(guān)于智能家居安全的相關(guān)標(biāo)準(zhǔn)很少,據(jù)了解目前只有一個團標(biāo)與在研標(biāo)準(zhǔn)。而智能家居的風(fēng)險主要存在于云端、設(shè)備終端、手機產(chǎn)品終端以及通信安全,如何提升安全性或許可以從這幾個方面入手。
在云端,保證身份認(rèn)證與鑒別安全、訪問控制、Web安全、用戶數(shù)據(jù)加密存儲如何設(shè)計。在設(shè)備終端,遠(yuǎn)程管理、智能攝像頭、智能網(wǎng)關(guān)等設(shè)備Web服務(wù)的安全性管理,以及端口與服務(wù)安全中,如何降低黑客對設(shè)備開放的端口與服務(wù)進(jìn)行分析,尋找潛在的攻擊點的可能性。
手機端,如何將傳統(tǒng)互聯(lián)網(wǎng)安全性的處理方式與智能家居系統(tǒng)進(jìn)行高度融合,并在此基礎(chǔ)上研發(fā)出適應(yīng)智能家居產(chǎn)品的安全系統(tǒng)。在通信端,如何對ZigBee、Bluetooth、MQTT 以及 CoAP等通信協(xié)議的加密、提升協(xié)議破解難度等。
目前,智能家居不斷在發(fā)展,很多領(lǐng)域依然處于摸索當(dāng)中。但是,無論什么產(chǎn)業(yè),to B還是to C,安全性永遠(yuǎn)都需要擺在第一位,產(chǎn)業(yè)才能健康持續(xù)高效地發(fā)展。不然,也只是欺騙自己、欺騙用戶的空殼罷了。