| | | 2017年06月24日 星期六
6
经济观察

智能“黑科技”“黑”你不客气


    本报记者 张晓鸣

    随着智能家居概念的普及,以往只有在公共场所才能看到的智能摄像头,开始进入普通家庭,使人们对家居实时远程监控变为可能,给人们的日常生活\ 工作带来了极大的便利,然而,由此产生的隐私泄露等安全风险如影相随。

    目前在国内上市销售的智能摄像头品牌就多达107个,市场上销售的无品牌的山寨产品更是不计其数,然而由于参与智能摄像头设计生产和推广的相关企业繁杂,品牌众多,其中的很多产品都缺乏完善的安全相关设计,很容易被黑客控制o

    360攻防实验室发布的智能家庭摄像头安全状况评估报告显示,该企业在对国内市场上销售的近百个品牌的家庭智能摄像头进行的安全评估测试发现,近八成产品存在用户信息泄露、数据传输未加密、App未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全漏洞o 安全专家介绍,这些安全缺陷的存在,让接入网络的智能摄像头可以轻易被不法分子控制,随时获取摄像头的图像和语音信息,对安装摄像头的家庭或公司进行监控、甚至网上直播。

    通过智能镜子对身体健康进行评测,提供合理的妆扮建议;通过云数据同步,喷淋系统可根据室温及用户身体状况自动调节水温;以及包括可监测排泄物成分的智能马桶、可显示体重和体脂含量的地砖等具体场景……善于造梦的科学家,正在构想出一系列未来人类将在浴室内可体验到的智能化家居装备。

    再比如,在家里安装上智能摄像头,年轻的父母可以随时查看孩子的生活学习状况;上班的子女能随时观察家中老人的情形,防止意外发生;离家在外时还能够实时监控房屋财产安全状况,记录下不法人员的体态样貌,甚至还能远程报警……

    不过,在看到WannaCry电脑病毒闹得人心惶惶的时候,你还敢放心大胆使用这些智能家居吗?

    “引狼入室”的摄像头

    近日,南京市鼓楼警方就接到一位市民的报警求助。

    报警者吴女士称,为了拍摄家中宠物猫的日常动态,她在客厅、餐厅等区域安装了监控探头,画面可以实时传输到自己的手机上。可最近,吴女士偶然在某萌宠网站上,居然看到了自家宠物猫的视频,“我肯定没有上传过任何影像资料到这家网站,也没有发给朋友看过,视频怎么会流到网上去呢?”

    据警方初步推断,吴女士的摄像头是24小时联网状态,而且品牌比较小众,防火墙做得并不牢靠,可能在中了木马病毒后,相关视频被不法之徒截获后上传,然后被不明真相的网站发布。

    吴女士的尴尬遭遇,只是智能家居产品隐私泄露的冰山一角。360攻防实验室发布的《国内智能家庭摄像头安全状况评估报告》就表示,近八成智能摄像头产品存在用户信息泄露、数据传输未加密等问题,黑客可以远程获取用户实时监控画面。

    本是为了家人、家宅安全而安装的摄像头,如今在安全上却是漏洞百出。据安全专家介绍,该实验室去年曾经对国内市场上销售的近百个品牌的家庭智能摄像头进行安全评估测试,发现有近八成产品存在用户信息泄露、数据传输未加密、App未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。这些安全缺陷的存在,让接入网络的智能摄像头,可以轻易被不法分子所控制,随时获取摄像头拍摄的图像和语音信息,对安装摄像头的家庭或公司进行监控甚至网上直播,从以往披露的拍摄内容看,其中很多连家庭住址、户主姓名等隐私信息都一览无余。

    国家信息中心专家委员会主任宁家骏认为,智能摄像头是一种普及率颇高而且发展很快的家庭智能设备。据不完全统计,目前在国内上市销售的智能摄像头品牌多达107个,保守估计中国市场年销量超过400万台。然而,由于设计生产的相关企业繁杂,目前国内市场上销售的智能摄像头鱼龙混杂,不仅品牌多,而且无品牌的山寨产品更是不计其数,其中很多产品缺乏完善的安全设计,更没有进行过系统的安全风险评估。利用这些设备的安全漏洞,黑客不仅可以接管这些设备的控制权而为所欲为,还可以窃取用户个人信息和个人数据,其危害不容小觑。

    专家就智能摄像头的购买和使用给出了安全建议:首先,在购买的时候要对所选品牌的摄像头进行一些调查,看看网上能不能搜索到相关品牌设备漏洞一类的问题,用户口碑如何。其次,要选择有一点品牌知名度、价格合适(太便宜请慎入)的摄像头。开始使用之前,第一步要做的就是设置一定强度的密码,平时要及时关注智能家庭摄像头软件的提醒,如果发现请求验证码的短信,就需要立刻修改密码。与此同时,用户还应该经常登录摄像头进行查看,如发现角度不对等情况,就需要注意自己的账号安全了。此外,还要注意网络安全咨询,关注智能家庭摄像头安全方面的消息,如果有报道称设备出现漏洞,就需要等待厂家更新,要保证所使用的摄像头是最新版本……

    智能家居产品“请神容易送神难”

    不仅仅是摄像头存在安全隐患,智能家居在给我们日常生活带来方便的同时,新的安全问题也是如影随形。

    目前来看,智能家居产品最大、最直接的安全问题,是更大范围的个人信息收集及隐私泄露风险,不管是善意还是恶意。以目前国外已相当普及的智能电表为例,生厂商可以通过分析家庭的用电情况了解用户家中配置了何种电器、一家人的作息习惯,如果电表和智能冰箱联网,甚至还能看到这家人何时打开电冰箱、还有多少食物等极度私密的信息……而这一切,仅仅是一款智能电表带出的隐私信息而已。

    此前,国内有媒体曾爆出LG、三星智能电视收集用户信息的问题。据相关媒体的报道,有部分细心的LG智能电视操作系统Web OS用户反映,他们即便不换台、不使用互联网应用,LG电视依然会向后台发送数据包,由此怀疑LG违规收集用户个人信息。用户对此投诉后LG表示,之所以启动这一功能,是为了向其他LG智能电视用户提供收看建议。公司从来都不会存储用户个人数据,未来将开发一种新的固件更新,以确保数据收集设置完全由用户控制。

    LG风波刚刚平息,三星智能电视又被用户投诉。媒体报道称,三星智能电视配置的语音识别功能,能够在未经用户许可的情况下捕捉用户的会话,还会将其传输给第三方。

    三星智能电视最大的卖点之一便是其语音识别功能。“可以捕捉到语音命令,并将其转换成文字命令”,这对于那些厌倦使用遥控器的人来说,是极具诱惑力的。不过,在三星提供的隐私条款上,却明确标注着“请注意,智能语音识别系统能够捕捉到您的语音,个人信息以及其他一些敏感信息也会随着捕捉到的数据一同传输到第三方”。对此,三星方面称,“三星很注重用户的个人隐私。三星智能电视采用行业标准的信息维护准则,其中就包括数据加密。这一措施能确保用户的个人信息不被泄露,不会在未经授权的情况下被收集或使用”。

    事实上,不仅仅是智能电视,我们身边所有接入互联网、配置语音操控功能的智能家电设备,都存在隐私泄露的可能。比如,Xbox游戏机、互联网电视盒,甚至是智能恒温器,都存在数据收集带来的安全风险。考虑到这些设备的平台都十分容易被黑客攻破,这些用户数据显然不仅仅是被用于分析数据、进行营销那么简单,更有可能被传播或贩卖至商业公司。

    如果说智能家居设备生产商按惯例读取信息、用户尚能承受的话,那么黑客通过网络入侵终端App,借助智能家居产品获得家中控制权,则已经不仅仅是电影中的恐怖场景,而是活生生的现实……通过盗取用户智能家居App的账号和密码,登录用户家的网关,黑客可轻松“接管”整个智能家居系统,实现门窗、电视、空调、灯具等各种设备的开关,换句话说,你的远程控制权已移交至黑客的手中。更让人防不胜防的是,黑客通过窃取的用户隐私数据,可轻松获得用户的家庭住址,并通过智能家居App打开用户家的智能锁……对比之下,之前用户的智能摄像头被黑,只能说是小菜一碟。

    即使没有被黑客盯住,病毒也是一个大麻烦。现阶段,智能能源管理、远程门锁、室内监控等智能家居设备大部分采用蓝牙无线连接,通过智能手机、平板电脑和网页来实现操作。一旦智能家居App被病毒感染,由此带来的麻烦,也够你喝一壶的。

    先学会走路再想着怎么“飞起来”

    从市场发展趋势来看,智能家居很有希望成为下一个大“风口”。

    如果对智能家居产业链进行梳理,可以发现智能家居是一个整合性的行业,参与方众多。有提供软硬件技术支持的厂家,比如谷歌、百度、阿里等;有智能家居产品厂商,有家电企业、照明安防企业等;有平台企业,如苹果、华为、阿里、京东、微软、亚马逊等巨头。此外还有提供整体智能家居解决方案的集成商等。

    这些企业及其在智能家居领域的探索,构成了智能家居近千亿级的市场。有数据显示,我国智能家居市场规模2015年为431亿元,同比增长41.80%,2016年为660亿元,同比增长53.10%,2017年预计为988亿元,同比增长49.60%。到2020年,全球智能家居产业规模将达到620亿美元,届时我国智能家居市场规模将达到1396亿元。无论从规模上还是增长速度上,我国的智能家居市场的发展都在全球市场保持领先地位。

    所有人都在等待智能家居这一“风口”到来,但如果对智能家居产品存在的安全隐患没有足够的防范意识,智能家居产品的普及,可能会带来一场灾难。“便利”向来是把双刃剑,在互联网以及正在快速普及的物联网上,你传输的数据越多,信息暴露的可能性就越大,存在的安全隐患也因此而剧增。以目前的技术,对于物联网设备,可以采取的安全措施大概可以分为四类。一是前端,即用户的设备端,通过增加设备本身的可靠性来降低风险,比如提高生物识别模块的准确度;二是网络,即防范数据传输过程中可能出现的安全风险;三是系统和数据库,即防范操作系统、通用应用平台系统方面存在的风险以及威胁到信息数据库的安全风险;四是应用、管理、终端,即防范实现业务应用自身及应用交互过程中的安全风险,防范网络和系统管理不善产生的风险,防范控制终端及其操作系统面临的风险。

    不过,放眼整个智能家居行业,很少有企业能在上述四个环节都做到万无一失,毕竟这其中涉及的领域太广泛了。比较靠谱的解决方案是企业间的合作,而这又涉及到众多纠缠不清、一言难尽的利益关系……这一行业当中一些最基本的环节,恰恰是最不堪一击的,比如统一的安全标准、用户个人数据的所有权归属、用户隐私保护政策、一旦隐私泄露责任归谁,诸如此类,都有待行业巨头配合管理机构一一落实。

    在互联网时代,智能家居是大势所趋。不过,想借“风口”起飞之前,还是请先把路走稳。

上海报业集团 版权所有