被入侵的科沃斯智能设备。图据Def Con安全大会
智能家居设备的普及极大提高了人们生活的便利度和舒适度,据中国智能家居行业协会发布的《中国智能家居生态发展白皮书》,2023年行业市场规模已达7157.1亿元。公众对智能家居安全风险的重视也与日俱增。近日,知名家庭服务机器人品牌科沃斯(Ecovacs)旗下部分产品被曝存在网络安全漏洞,引发关注。南都大数据研究院梳理发现,随着物联网和智能家居设备进入千家万户,网络安全、数据安全问题的影响范围已不再局限于电脑、手机等设备,如何保障用户个人信息安全成为当前产业和社会亟待关注的话题。
安全漏洞
恶意软件攻击增长逾400%
本次科沃斯相关漏洞在全球顶级安全会议——Def Con安全大会上被披露:黑客可以通过手机蓝牙,在450英尺(约130米)范围内匹配到设备并对其加以控制,进而连接到服务器,盗取相关数据。
南都大数据研究院梳理近年来国内外技术团队披露漏洞和新闻媒体报道发现,除扫地机器人外,智能摄像头、智能音箱等多种不同类型智能家居产品也曾被曝出安全漏洞,其中部分甚至已经被实际利用,引发安全事件。
2019年初,国内媒体集中报道一批在网络上非法售卖破解智能摄像头教程和软件,以及由此窥视、录制他人家庭隐私视频的事件,包括360在内的多个知名品牌牵涉其中。同年,亚马逊公司被曝雇用了数千名员工“偷听”Echo系列智能音箱捕捉到的录音,用于改进其智能语音助手Alexa。今年年初,网络安全公司Bitdefender披露了LG公司旗下智能电视操作系统存在安全漏洞,全球逾91000台设备受影响。
网络安全研究团队Zscaler threatlabz发布的《2023年企业IoT和OT威胁报告》指出,2023年全球物联网流量较2022年同期增长了18%,而恶意软件攻击增长了400%以上。值得关注的是,该报告指出,其观察到的39个“最受欢迎的物联网漏洞”中,有34个已存在三年以上,最早的漏洞可以追溯到2013年。这突显了遗留漏洞的普遍性和风险,不少厂商对网络和数据安全威胁反应迟钝。
多份安全研究报告指出,随着家居产品互联和智能化程度的提高,越来越多不法分子盯上这片“蓝海”;智能家居安全的问题不容忽视,它关系到用户的隐私保护、数据安全乃至人身安全。
风险隐患
任何联网设备均有可能泄露个人信息
综合相关研究报告,智能家居系统的安全风险主要来源于以下几个方面:设备本身的漏洞、通信过程中的数据泄露、用户操作不当导致的安全问题以及第三方应用和服务的安全缺陷。理论上,任何自带图像、声音传感器和存储能力的联网设备,均存在被破解从而导致个人信息泄露的风险。
例如智能摄像头若被入侵,可能被恶意访问者窥视家庭隐私;智能音箱可能被劫持成为“窃听器”,偷录用户对话内容;智能门锁为黑客盗取指纹等生物识别信息提供路径;智能电视、智能厨电等或会“出卖”用户的娱乐和饮食习惯,成为“大数据杀熟”的帮凶。
2020年,伦敦玛丽女王大学(QMUL)和中国科学院的研究人员还发现,即使不法分子不调用摄像头,只需根据摄像头上传数据时产生的流量大小,就有可能了解到用户的日常生活状态以及不在家的时间,给现实世界的用户人身安全带来威胁。
业内人士
长期稳定的补丁推送确保设备安全
南都大数据研究院留意到,针对相关安全隐患,我国已先后出台有关标准,大力推进智能家居产品安全能力建设。在《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”构成我国数据安全领域基础性法律体系的基础上,国家标准《智能家用电器 个人信息保护要求和测评方法》(GB/T 40979-2021),规范行业企业正确执行国家相关法律法规要求,遏制个人信息非法或过度收集、滥用、泄漏等乱象。国家标准《信息安全技术 智能家居通用安全规范》(GB/T 41387-2022),为智能家居企业产品安全性提升提供实质性指导。
但有专家表示,在当前的数据监管实践中,相关部门对每家企业逐一检查并不现实,在问题暴露前,相关安全能力建设很大程度上依赖于厂商的自觉性。也有业内人士指出,长期稳定的补丁推送是确保设备安全的重要手段,但部分中小企业开发团队人手和技术能力均有限,难以维持长期的安全更新。
多家安全研究团队建议,消费者选择智能家居产品时,应尽量选择口碑良好的品牌产品,其在产品质量、设备本身的安全防护能力、售后维护特别是漏洞应急响应方面都有更好的保障;此外,开启多因素身份验证(MFA),即除密码之外,用户账户登录还须提供如短信验证码、指纹等第二种验证信息,可有效阻止攻击者轻易获得设备访问权限。
上海大学网络空间安全专业负责人、紫金山实验室车联网内生安全方向学术带头人李玉峰提醒,对消费者而言,在选购相关产品时,一方面要选择重视产品安全和用户隐私保护的信誉良好品牌,另一方面也要仔细了解其隐私政策和用户协议,审查APP和家电设备所需的权限,避免过度授权。
采写:南都记者 李伟锋