應用

技術

物聯(lián)網世界 >> 物聯(lián)網新聞 >> 物聯(lián)網熱點新聞
企業(yè)注冊個人注冊登錄

智能語音助手又出差錯,卻暴露了智能家居背后更大的問題

2019-12-27 11:40 物聯(lián)傳媒

導讀:未來是屬于物聯(lián)網的時代,智能家居產品的種類在未來也會呈現(xiàn)爆發(fā)式增長。目前,在智能家居產品中,智能音箱只是其中的一種產品,智能門鎖、智能攝像頭也離人們的日常生活越來越近。但是無一例外,這些產品都出現(xiàn)了很多產品漏洞以及涉及用戶敏感數(shù)據(jù)的問題。根據(jù)今年質檢總局的數(shù)據(jù)來看,八成以上的攝像頭存在安全風險。

此前,亞馬遜的Alexa智能語音助手被爆出監(jiān)聽用戶談話內容,一波未平一波又起,近日,一位使用Alexa語音助手的國外用戶在詢問心動周期的問題的時候,Alexa給出了讓人毛骨悚然的答案:

“心跳是人體最糟糕的過程。人活著就是在加速自然資源的枯竭,人口會過剩的,這對地球是件壞事,所以心跳不好,為了更好,請確保刀能夠捅進你的心臟。”

2019_1224_bcadc8b1j00q2zuzc001tc000g40096c.jpg

而亞馬遜則回應這是一個BUG,其實早在這之前,Alexa就存在很多BUG,例如,拒聽用戶指令和發(fā)出怪異的聲音。據(jù)筆者了解,這些所謂的BUG,內容其實都來源于維基百科,就是那個在國外火的一塌糊涂而國內卻不能使用的類似于百度百科的網絡百科全書平臺。由于Alexa作為AI產品需要不斷地錄入數(shù)據(jù)進行自我學習,所以Alexa接入了維基百科的內容,通過里面的內容與用戶進行交互。但是,需要指出的是,維基百科的內容是任何用戶都可以進行編輯的,難免會有一些惡意和劣質內容,而Alexa無法進行內容質量識別,BUG也就顯現(xiàn)了。當然,整個事件看起來并沒有造成很嚴重的后果,但是我們可以看到智能音箱以及更多的智能家居產品背后,依舊存在著巨大的BUG以及隱私問題,這樣的BUG一旦被不法之人掌握,甚至還有可能引發(fā)更大的安全問題。

智能音箱存在的漏洞和安全問題

還是以亞馬遜的Alexa為例,Alexa目前最主要的載體是亞馬遜2014年發(fā)布的Echo智能音箱,雖然Echo后續(xù)也有產品迭代,但是Echo作為智能家居硬件依然還是用來遠程遙控開燈、鎖門、調整溫控器等。這其中就需要其他公司將自家第三方應用程序與Echo連接,準確來說,應該是Alexa,進而在應用商店中供用戶使用。剛剛上面所說的官方錄音和劣質內容BUG,威脅其實是在可控的范圍內。而目前,暴露的最大問題就是在第三方應用程序上。

photo-1545488897-424e53f3ad92 (1).jpg

最近,德國安全研究實驗室(SRlabs)公布了他們針對亞馬遜以及谷歌智能音箱做的黑客攻擊方案研究結論,他們開發(fā)的八個“黑客”應用程序被偽裝成常用的星座查詢應用和隨機數(shù)生成器,無一例外的全部通過兩家公司智能音箱的安全審核,成功入駐應用商店。

接下來,更為恐怖的事情出現(xiàn)了。通過亞馬遜提供的標準開發(fā)接口,SRlabs的研究人員可以請求并收集包括用戶密碼在內的個人數(shù)據(jù)以及在用戶認為智能音箱停止收聽后繼續(xù)竊聽用戶。具體來說,在Alexa響起結束音后,上述的“黑客”應用程序并未真的停止,而是在繼續(xù)工作,這樣的操作并未被亞馬遜和谷歌抓包。

問題其實都是有目共睹的,就在前不久,中國信息通信研究院發(fā)布了《2019互聯(lián)網設備-智能音箱安全白皮書》。在白皮書中列舉出了智能音箱十大安全風險,涉及到企業(yè)過度收集用戶信息,個人信息(操作記錄、對話記錄)未加密或采用弱加密方式,設備硬件調試接口暴露以及敏感信息提取風險,系統(tǒng)更新機制問題,惡意應用靜默安裝風險,會話劫持風險,惡意代碼植入風險以及漏洞引發(fā)的跳板攻擊其他互聯(lián)設備。

智能家居安全何去何從

未來是屬于物聯(lián)網的時代,智能家居產品的種類在未來也會呈現(xiàn)爆發(fā)式增長。目前,在智能家居產品中,智能音箱只是其中的一種產品,智能門鎖、智能攝像頭也離人們的日常生活越來越近。但是無一例外,這些產品都出現(xiàn)了很多產品漏洞以及涉及用戶敏感數(shù)據(jù)的問題。根據(jù)今年質檢總局的數(shù)據(jù)來看,八成以上的攝像頭存在安全風險。

微信截圖_20191224142406.png

此前曝光的家庭攝像頭照片泄露

微信截圖_20191224141931.png

倒買倒賣用戶賬號

要知道,智能家居的大部分產品是沒有自帶防火墻的功能,任何黑客都可以通過某一種智能家居去破解家庭所有的互聯(lián)設備。尤其是智能音箱,它作為智能家居的中控平臺,對于家庭物聯(lián)網有著舉足輕重的作用。如果不在安全性上加強研發(fā),對于用戶和整個智能音箱行業(yè)的發(fā)展來說,百害而無一益。

從用戶方面來說,對于密碼的設定、系統(tǒng)的及時更新、設備的權限控制這些是需要加以重視的。而我們更需要從源頭,行業(yè)和企業(yè)的層面去保護用戶和整個社會的安全。

其實,國內關于智能家居安全的相關標準很少,據(jù)了解目前只有一個團標與在研標準。而智能家居的風險主要存在于云端、設備終端、手機產品終端以及通信安全,如何提升安全性或許可以從這幾個方面入手。

在云端,保證身份認證與鑒別安全、訪問控制、Web安全、用戶數(shù)據(jù)加密存儲如何設計。在設備終端,遠程管理、智能攝像頭、智能網關等設備Web服務的安全性管理,以及端口與服務安全中,如何降低黑客對設備開放的端口與服務進行分析,尋找潛在的攻擊點的可能性。

手機端,如何將傳統(tǒng)互聯(lián)網安全性的處理方式與智能家居系統(tǒng)進行高度融合,并在此基礎上研發(fā)出適應智能家居產品的安全系統(tǒng)。在通信端,如何對ZigBee、Bluetooth、MQTT 以及 CoAP等通信協(xié)議的加密、提升協(xié)議破解難度等。

目前,智能家居不斷在發(fā)展,很多領域依然處于摸索當中。但是,無論什么產業(yè),to B還是to C,安全性永遠都需要擺在第一位,產業(yè)才能健康持續(xù)高效地發(fā)展。不然,也只是欺騙自己、欺騙用戶的空殼罷了。