阴影中的偷窥:家居智能化 要互联更要安全
6月18日,央视大篇幅报导了家庭摄像头遭入侵,个人隐私被“直播”事件,一时间,智能家居的信息安全性问题猝不及防地撞入视野。近年来,智能化作为 家电 业二次崛起的风口,各企业都在努力探索智能技术及相关的模式变革,但智能家电自身的信息安全性却极少提及,随着智能家电基数的扩大,信息安保成为智能发展中无法忽视的题中之义。
从勒索病毒到偷窥隐私的摄像头
2017年5月12号,WannaCry比特币勒索病毒爆发,仅仅两天时间,病毒便攻击了全球150多个国家,使大量计算机文件被加密锁定无法正常运行,20多万人受到影响,政府、医院、邮政系统、高校、火车站、加油站、自助终端等多领域受到侵害;一个月后,6月18日,央视曝光了可以轻易被侵入的家庭智能摄像头,只要花费188元购买一个扫描APP,便可破解用户家中摄像头的IP地址,远程操控摄像头,盗取或截取摄像头中的换面,而破解的IP地址也被公开叫卖,用户隐私荡然无存。
如果说比特币病毒威胁的是我们的工作环境,那么泄密的摄像头则将黑手伸向了我们的家居生活,其危害令人细思极恐。
从事婚庆物品出租的郭先生家中便安装有两台摄像头,一台用于监视堆放物品的仓库,一台监控出租物品的前台。“我们家发生过盗窃,损失一直未能追回。后来家中换了防盗门,民警还建议我们装摄像头,便于实时监控,事后追查。现在看来装摄像头也不安全,若观看人仅为猎奇还则罢了,要是有心人趁着没人实施盗窃怎么办?”
郭先生的担忧不是没有凭证,从央视播放的画面中我们可以看到,遭泄密的摄像头不仅能够直播用户室内的细节,同时报道记者(观看人)还能顺藤摸瓜找到用户的电话号码,甚至修改摄像的画面。由此是否可以推断,用户的家庭地址以及用户本人的信息也是唾手可得的?
中国信息安全测评中心的徐长醒博士提醒人们,新时代下网络空间存在各种各样的威胁,信息技术的漏洞无处不在,不法分子有机可趁,从企业到个人都必须采取相应的防范措施,加强智能设备的安全防护。
墨菲定律旋涡中的智能家居
摄像头仅仅是日渐进入家庭的智能家居系统的一部分。随着智能概念的广泛应用,家电、 汽车 、门禁安防、医疗设备等都在成为物联化、智能化的产品。Gartner公司业务发展总监谢瑾指出,到2020年全球物联网相关产品预计会有80亿台的年出货量,约2600亿美元的年消费金额。智能终端的数量越庞大,与人们的生活联系越紧密,一旦发生信息安全隐患,所造成的危害就会越大。
墨菲定律认为,如果坏事有可能发生,不管这种可能性多么小,它总会发生,并引起最大可能的损失。
美国知名博客 媒体 Ars Technica发布的一份报道称,一种新的黑客攻击概念模式可轻易通过窃听空中信号来攻击侵入大批各种型号的智能电视,并成功完成了对三星两款已全面升级的智能电视的侵入测试。而一旦黑客控制了终端用户的智能电视,就能以多种方式侵害用户的利益。通过远程控制智能电视,可侵入攻击智能家庭网络中的其他更多设备,也可用电视摄像头和麦克风窥探用户隐私,将智能电视变成隐私窥视设备和窃听器。
安全研究人员Yossef Oren对此指出,此次测试具有显著的重要性,因为与电脑相比,智能电视的用户更为普及和复杂,同时使用智能电视的用户并不会太关心网络安全问题,甚至根本不知道也不会为电视安装安全软件。
而显然,对于我们国内的智能电视消费者,信息安全意识的淡薄同样如出一辙,记者随机询问了几位在苏宁安贞桥北店咨询智能电视的消费者,基本没人考虑过智能电视也会中毒这个问题。
无独有偶,2015年,致力于网络安全研究的白帽黑客,发现了三星智能冰箱(型号为RF28HMELBSR)的安全漏洞,黑客能够通过其拦截冰箱与谷歌日历之间的通讯内容,从而窃取谷歌账户。事实上,不仅是三星,在同年拉斯维加斯举行的DEF CON黑客大会上,安全研究人员和白帽黑客们共发现25个存在漏洞的智能产品,包括厨房秤、咖啡机、无线摄像头、智能门锁、智能Hub等。
来自中国信息安全测评中心的谢丰博士警示,当前包括智能家电、智能安防系统在内的家居型智能产品,普遍存在两大问题,一是“重发展、轻安全”,一是“无认证、未加密、易篡改”,他呼吁各厂商应重视智能家电等的安全问题及企业安全体系的建设。
应对家居信息安全 中国企业在行动
作为智能家电、智能家居的积极推广者,一些有能力的中国家电制造商已经积极行动起来。
美的电器相关负责人表示:“智能技术的快速迭代,依赖于大数据的深入挖掘,这是智能家电与传统家电的根本区别之一。但是,数据的引入和共享为用户带来便捷的同时,也带来了信息安全隐患。多数智能家电制造企业硬件技术有了,却匮乏软件技术支撑,研发了智能设备,却没能力做智能系统,依赖于租用第三方智能系统,这样极易泄露用户信息,影响用户安全”。
基于此,美的开发了具有自主知识产权的M-Smart 安全体系,该体系的核心在于采用美的自主运营的智能独立系统,独立运营用户数据,不涉及第三方,进而有效杜绝用户个人信息泄露情况发生。据悉,该系统获得了国家信息安全测评中心智能家用电器信息安全A级认证。此外,美的在WIFI安全技术上应用的“物联网安全WiFi模块技术”,是获得中国信息安全测评中心最高安全证书的EAL4+级安全芯片,可最大限度地保障消费者家庭物联网的信息安全。
而作为中国智能家居元老级的海尔,在物联网安全建设上也不遗余力,开发出UHomeOS物联网安全系统。UHomeOS除了充分借鉴传统 互联网 的安全机制外,同时开发出十大机制满足物联网相关信息安全需求。这十大机制分别为:CPU模型安全、产品模型安全、认证模型安全、量产模型安全、售后模型安全、工具链模型安全、OS自身模型安全、信息交换模型安全、密钥管理模型安全和算法模型安全。“这是一个综合作用的结果,”海尔UHomeOS研发总监尹德帅表示,“物联网是大势所趋,而伴随着它的发展,安全机制也会伴随攻击者的进步而演化。新的防攻击机制,新的安全机制会层出不穷。因此,在企业自建物联网安全机制的同时,组建共同的安全联盟是下一步智能家居安全健康发展的方向。”
博西家电负责人补充说:“安全、隐私两个话题将成为智能家电领域最核心、最重要的话题。从产品层面上,家电曾经是孤立的,只要电路不出问题,一般不会出现意外事故。而智能家居的根本特点是全面接入网络,被窥探和攻击就存在可能。目前而言智能家居数据泄露主要源于两大原因,一是智能家居产品大多通过WiFi连接,给黑客提供了入侵的渠道,此外当前智能家居制造者对于安全问题的疏忽,系统安全漏洞普遍存在。”
在信息安全方面,博西家电的经验是,一方面采用透明的数据采集模式。在数据收集时,博西“家居互联”程序将自动弹出对话框征求用户的同意,并清晰明确地告知用户所需采集数据的内容、类型以及用户可以得到的体验。其次,为了确保数据安全,他们会将数据的收集、处理、分析等全部环节交由公司内部完成,同时所有设备之间的数据信息均采用加密技术进行交换传输,以实现最高级别的安全保障。在德国,“家居互联”已通过专业第三方的机构测试与认证,达到业界领先标准。
中国家用电器协会理事长姜风认为,随着智能时代的来临,企业的研发重点需要从重视硬件转向软硬并举。“智能家电需要通过软件来实现有价值的智能功能、产品的迭代更新,也要通过软件来创造全新的服务模式、解决消费痛点。而软件技术正是我们传统家电制造业所不擅长的”,因此,企业应该积极进行跨界合作,在软件领域投入资源,在人才引进、研发架构等方面进行调整,通过软件技术的升级,为消费者提供有价值的服务,而在维护用户信息安全方面,也不例外。
美国《连线》杂志以互联网领域的前瞻性和预见性而闻名,在它所刊登的文章中,便有不少涉及智能家居安全隐忧的篇幅。
“凌晨四点,我被枕头中倾泻而出的老调回响贝斯声吵醒了……我从来不听回响贝斯,事实上这整个音乐种类都被我放在了禁止播放的名单里。你瞧,我的家又中病毒了。”
尽管作者用了一种幽默轻松的笔触描述家中智能产品“中毒”的场景,但如果有一天黑客威胁将我们家中的空调设为37℃,将我们预定的冰箱食谱全部打乱,或让我们的心脏起搏器停止工作1分钟时,生活将变得一团糟……
来源: 中国家电网 作者:刘拓