智能設(shè)備會變身“竊聽器”

隨著人工智能和物聯(lián)網(wǎng)技術(shù)的普及，智能門鎖、智能馬桶、掃地機器人、智能全屋溫控、攝像頭等智能家居設(shè)備逐漸普及。值得注意的是，智能家居產(chǎn)品的敏感數(shù)據(jù)若被不法分子利用，可能造成信息泄露，威脅個人信息和財產(chǎn)安全。

目前智能家居設(shè)備存在哪些安全隱患？其技術(shù)原理是什么？如何防范智能家居設(shè)備侵犯個人信息安全？4月27日，記者對此進行了調(diào)查。

便捷背后存安全隱患

2021年，某品牌智能音箱被曝存在漏洞，攻擊者可利用藍牙協(xié)議漏洞遠程控制設(shè)備，即使在設(shè)備關(guān)閉的狀態(tài)下仍能監(jiān)聽用戶。

現(xiàn)實生活中發(fā)生的智能家居設(shè)備安全風(fēng)險案例層出不窮，比如破解智能馬桶的藍牙通信鏈路，通過藍牙發(fā)起連接，操縱馬桶蓋的開啟和關(guān)閉，自動噴水；入侵智能插座可以遠程開啟加熱裝置和電熨斗；通過捕獲藍牙信號，可以破解智能門鎖密碼，通過遠程惡意操作導(dǎo)致設(shè)備不可用；家庭攝像頭可以成為黑客的直播窗口。

“智能家居設(shè)備主要存在3方面安全隱患。”大消費行業(yè)分析師楊懷玉對記者說，“一是許多智能家居設(shè)備本身可能存在安全漏洞，黑客通過漏洞遠程控制設(shè)備，竊取用戶個人信息、破壞家庭設(shè)備等，二是智能家居設(shè)備通常通過互聯(lián)網(wǎng)進行通信，如果網(wǎng)絡(luò)安全措施不到位，黑客可能利用網(wǎng)絡(luò)攻擊手段破壞設(shè)備通信功能，甚至控制整個智能家居系統(tǒng)，三是智能家居設(shè)備存儲著用戶的個人數(shù)據(jù)，如使用習(xí)慣、偏好設(shè)置等，若設(shè)備或云服務(wù)的安全防護不足，黑客可能通過安全漏洞竊取數(shù)據(jù)，導(dǎo)致用戶隱私泄露和財產(chǎn)損失。”

白牌產(chǎn)品（通常指沒有品牌標(biāo)識或標(biāo)識不明顯的產(chǎn)品）接入非正規(guī)平臺，是業(yè)內(nèi)人士認(rèn)為造成智能家居設(shè)備安全隱患的另一個主要原因。360智慧生活集團副總裁孫浩對記者說：“一些智能家居硬件由于嵌入式平臺的性能限制，在網(wǎng)絡(luò)通信、安全加密等方面不規(guī)范的情況下，加上一些小平臺能力參差不齊，在硬件設(shè)備和云端通信、管理方面存在一定安全隱患。”

孫浩認(rèn)為，目前智能攝像機、智能門鎖等品類產(chǎn)品依然存在白牌產(chǎn)品橫行的情況，這些產(chǎn)品因為帶有攝像頭，具備音視頻記錄、傳輸功能，對平臺能力、運營成本要求較高。很多白牌產(chǎn)品接入非正規(guī)云平臺，在平臺穩(wěn)定性、安全性方面存在較大安全隱患。

正規(guī)平臺風(fēng)險相對可控

“智能家居設(shè)備一般通過無線通信協(xié)議（如Wi-Fi、Zigbee、Bluetooth等）與家庭網(wǎng)絡(luò)或其他設(shè)備連接，并通過云端處理數(shù)據(jù)實現(xiàn)遠程控制。如果這些通信沒有妥善加密或者存在軟件漏洞，容易被黑客利用進行攻擊。”楊懷玉說，“比如，智能音箱依賴麥克風(fēng)陣列和語音喚醒技術(shù)實現(xiàn)交互，若設(shè)備被植入惡意程序，其語音監(jiān)聽功能可能被永久激活。攻擊者可通過遠程指令繞過‘喚醒詞’限制，持續(xù)錄制用戶對話并將數(shù)據(jù)加密傳輸。”

另外，部分?jǐn)z像頭因未采用端到端加密或使用弱密碼，容易被黑客通過暴力破解或網(wǎng)絡(luò)釣魚獲取控制權(quán)，可能暴露用戶生活細節(jié)。一些低價智能門鎖采用簡單加密算法或未配備防撬傳感器，攻擊者可通過破解指紋模塊、復(fù)制臨時密碼或利用Wi-Fi漏洞，在數(shù)秒內(nèi)開門甚至遠程解鎖。

“智能家居的云端平臺和傳統(tǒng)互聯(lián)網(wǎng)有著類似的通信加密和隱私處理機制，正規(guī)物聯(lián)網(wǎng)平臺風(fēng)險相對安全可控。”孫浩說，“正規(guī)的物聯(lián)網(wǎng)云平臺針對硬件安全設(shè)計了較為完善的防護機制，設(shè)備端在出廠時寫入了‘一機一密’，每個設(shè)備的加密秘鑰均不同。出廠時從底層寫入，只有云端同時入庫后才可以和云端進行通信。在用戶使用過程中，通信信道和數(shù)據(jù)內(nèi)容基于獨立的秘鑰雙重加密，數(shù)據(jù)存儲和秘鑰存儲隔離，APP端使用時單獨獲取，末端解密，能夠有效保護數(shù)據(jù)安全，保障隱私合規(guī)。”

拒絕盲目授予使用權(quán)限

消費者如何防范智能家居設(shè)備侵犯個人信息安全？專家認(rèn)為，需要留意選購和使用兩個方面。“消費者購買時應(yīng)選擇信譽良好的品牌，知名品牌往往有更嚴(yán)格的安全標(biāo)準(zhǔn)和審核機制。”楊懷玉說，“挑選合規(guī)設(shè)備優(yōu)先選擇正規(guī)銷售渠道，并選擇通過國家安全認(rèn)證的產(chǎn)品。”

孫浩認(rèn)為，目前智能家居硬件行業(yè)魚龍混雜，電商平臺上仍有大量白牌產(chǎn)品在售，很多產(chǎn)品使用公版模具、電路板，并接入較小的平臺，產(chǎn)品沒有經(jīng)過嚴(yán)格的認(rèn)證測試，參數(shù)虛標(biāo)、安規(guī)防護不足，接入的平臺在信息安全和隱私防護方面也存在較大風(fēng)險。尤其是智能攝像機、智能門鎖等產(chǎn)品，白牌比例較高，消費者購買時需要注意辨別。

使用過程也是個人信息泄露的高發(fā)時期。孫浩說：“在使用方面，消費者要嚴(yán)格控制對應(yīng)APP等云服務(wù)的授予權(quán)限。正常情況下，為了方便配網(wǎng)，APP會索取定位權(quán)限、聯(lián)網(wǎng)權(quán)限，但是絕大多數(shù)智能家居產(chǎn)品在APP端，不涉及錄音、聯(lián)系人讀取、應(yīng)用列表讀取等權(quán)限。因此，在沒有任何提示說明的情況下，消費者切勿盲目授予使用權(quán)限。”

楊懷玉建議，消費者應(yīng)定期更新軟件驅(qū)動，修補已知漏洞，提高安全性；使用強密碼和雙因素認(rèn)證，以增加賬戶安全性，防止黑客破解密碼；限制網(wǎng)絡(luò)訪問，將智能家居設(shè)備隱藏在家庭局域網(wǎng)中，并限制外部訪問；使用加密手段，確保設(shè)備間通信和數(shù)據(jù)傳輸采用加密技術(shù)保護；避免使用公共Wi-Fi；關(guān)閉不必要的功能，減少潛在安全風(fēng)險；妥善設(shè)置隱私權(quán)限，關(guān)閉非必要的數(shù)據(jù)收集和共享權(quán)限。