100多元的智能攝像頭、300多元的智能電飯鍋、1000多元的掃地機器人,并不高昂的價格和方便的體驗,讓越來越多的人開始嘗鮮,享受智能生活的便利。
智能家居暗藏風險80%抽檢攝像頭存安全隱患
手指輕點,“嘀”的一聲,智能門鎖已經(jīng)打開;智能空調(diào)讓房間溫度適宜;掃地機器人把家里打掃得整潔如新;智能電飯鍋和智能烤箱里,一頓大餐熱氣騰騰準備出鍋;智能電視和智能音箱只等“發(fā)號施令”,就會奉上精彩節(jié)目……曾經(jīng)出現(xiàn)在科幻電影中的場景,正成為越來越多人觸手可及的日常。
隨著5G通信技術(shù)和物聯(lián)網(wǎng)的大規(guī)模應(yīng)用,萬物互聯(lián)即將成為現(xiàn)實。市場機構(gòu)預(yù)計,到2020年,全球?qū)⒂?00億臺物聯(lián)網(wǎng)設(shè)備;全球智能家居的整體規(guī)模將由目前的100億美元增長至500億美元,中國或?qū)⒃?020年以前成為亞洲最大的智能家居市場。
智能家居設(shè)備雖然能帶來便捷舒適的生活體驗,但其背后的安全風險同樣不容忽視。
6月,國家質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司針對智能攝像頭可能存在的信息安全危害,從市面上采集了38個品牌共40批次的樣品進行監(jiān)測。結(jié)果顯示,80%的批次存在安全隱患。有的樣品后端信息系統(tǒng)存在越權(quán)漏洞,同一平臺內(nèi)可以查看任意用戶攝像頭的視頻;有的樣品允許任意查看或下載存儲在后端信息系統(tǒng)的用戶注冊信息和監(jiān)控視頻。
9月,在2017中國互聯(lián)網(wǎng)安全大會期間,解碼安全團隊展示了如何針對特定智能家居設(shè)備實行遠程控制:智能燈在房間里隨意開關(guān),智能攝像頭的拍攝角度不再受主人控制,智能門鎖密碼也能被遠程獲取。
國家計算機網(wǎng)絡(luò)應(yīng)急中心發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示,近年來,隨著智能可穿戴設(shè)備、智能家居、智能路由器等終端設(shè)備與網(wǎng)絡(luò)設(shè)備的迅速發(fā)展和普及利用,針對物聯(lián)網(wǎng)智能設(shè)備的網(wǎng)絡(luò)攻擊事件比例呈上升趨勢。
黑色產(chǎn)業(yè)浮出水面智能設(shè)備成“小偷”和“間諜”
“時刻能見,心無掛念,你想看到的都能幫你看到。”
某電商平臺上,一款月銷量近萬臺的智能攝像頭把這句話作為宣傳語。在手機上隨時隨地關(guān)注家中老人、孩子、寵物的動態(tài),或者實現(xiàn)遠程看家、看店、看車,是很多人購買智能攝像頭的初衷。
8月初,重慶的黃女士為觀察自己的寵物狗,在客廳里安了一個智能攝像頭,通過手機就能方便看到客廳的實時畫面。有一天,黃女士突然發(fā)現(xiàn)自家的攝像頭在動,立即打開電腦后臺查看,發(fā)現(xiàn)除了自己的賬號,還有一個陌生用戶在監(jiān)看這個攝像頭的信息。
根據(jù)此前媒體爆料,只用支付188元,就能獲得可以播放家庭攝像頭攝制內(nèi)容的軟件,輸入相應(yīng)IP地址、登錄名和密碼,就能成功登入攝像頭,遠程查看實時監(jiān)控畫面,甚至可以對畫面進行放大縮小。在一些QQ群內(nèi),被破解的IP地址甚至?xí)蝗褐髯鳛檎袛埲藲獾亩Y品,免費向群員發(fā)放。
7月,北京警方破獲全國首例網(wǎng)上傳播家庭攝像頭破解軟件案,打掉一條犯罪鏈條,抓獲涉案人員24名。涉案人員黨某和趙某非法購買攝像頭破解軟件,破解網(wǎng)絡(luò)攝像頭IP,觀看保存或販賣攝像頭拍攝的內(nèi)容。
對于被入侵的攝像頭信息,黑客也不是照單全收。7月,浙江麗水警方查獲被破解入侵家庭攝像頭IP地址近萬個,涉及云南、江西、浙江等地。根據(jù)嫌疑人王某供述,如果攝像頭的監(jiān)控畫面對著客廳,就不要;如果對著臥室、衛(wèi)生間等私密場所,價格是10元一條;如果是“有料”的所謂“精品”,則能賣到20元一條,還能在云盤多次販賣。
“從法律角度看,智能家居設(shè)備被破解,導(dǎo)致用戶的信息被分享售賣,主要是侵害了用戶的隱私權(quán)?!睹穹倓t》《刑法修正案(九)》《侵權(quán)責任法》《網(wǎng)絡(luò)安全法》等,都對公民的隱私權(quán)和個人信息保護做出了具體的規(guī)定?!敝袊ù髮W(xué)傳播法研究中心副主任朱巍分析。
除了充當窺探隱私的“間諜”,遭到惡意控制的智能家居還可能變成家里的“小偷”甚至“強盜”。復(fù)旦大學(xué)軟件學(xué)院副院長韓偉力介紹,智能家居存在的安全問題是全方位的:除了個人信息泄露,還可能因為智能家居設(shè)備喪失功能或者功能紊亂,造成家庭財產(chǎn)損失;更有不法分子利用被惡意控制的智能家居設(shè)備,進行人身攻擊和網(wǎng)絡(luò)攻擊。
比如說,被惡意控制的智能玩具,可能誘導(dǎo)小朋友做出打開大門、爬出陽臺等危險動作;被破解的智能門鎖、智能保險箱反而成了小偷“內(nèi)應(yīng)”,盜竊家庭財產(chǎn)如探囊取物;智能烤箱的溫度能被隨意提高,最終引發(fā)火災(zāi);智能家居還可能被控制形成大規(guī)模“僵尸網(wǎng)絡(luò)”,攻擊網(wǎng)絡(luò)服務(wù)器,造成互聯(lián)網(wǎng)服務(wù)大面積癱瘓。
安全籬笆亟待補牢加大投入用技術(shù)對抗技術(shù)
11月22日,中國輕工業(yè)聯(lián)合會和中國家用電器研究院聯(lián)合宣布,啟動智能家居團體標準研制工作。業(yè)內(nèi)人士認為,智能家居產(chǎn)品不能重功能、輕安全,應(yīng)盡快出臺智能家居產(chǎn)品的安全規(guī)范,探索建立企業(yè)隱私保護的信用機制。
“解決物聯(lián)網(wǎng)智能家居應(yīng)用的安全問題,首先要對系統(tǒng)安全技術(shù)加大投入,用技術(shù)對抗技術(shù)。”韓偉力說,“分析智能家居可能存在的安全問題并厘清其本質(zhì),是一個非常復(fù)雜而嚴肅的科學(xué)問題,需要研究人員結(jié)合技術(shù)本身和應(yīng)用實際,投入大量的人力物力進行廣泛深入的工作。而這方面,通常被智能家居和物聯(lián)網(wǎng)領(lǐng)域的產(chǎn)業(yè)人士所輕視?!?/p>
小米物聯(lián)網(wǎng)平臺研發(fā)總監(jiān)張彥路坦言,智能家居設(shè)備品類多,使用場景復(fù)雜,具有一定技術(shù)門檻。產(chǎn)品的安全性設(shè)計要做到全面,企業(yè)不僅需要足夠的技術(shù)實力,還需要經(jīng)驗積累和成本付出。目前,“有品”平臺上的產(chǎn)品采取內(nèi)置唯一密鑰、為智能鎖等敏感設(shè)備定制獨立安全芯片硬件等做法保障安全,這些技術(shù)同時也向社會開放。
國家計算機網(wǎng)絡(luò)應(yīng)急中心建議,智能設(shè)備生產(chǎn)廠商應(yīng)做好設(shè)備全生命周期的安全保障工作,制定完善的網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案;發(fā)現(xiàn)設(shè)備存在漏洞或被植入惡意程序時,能夠提供在線升級功能,或及時通知用戶手動修復(fù)。
智能家居安全問題是系統(tǒng)問題,需要技術(shù)、管理和法律法規(guī)協(xié)調(diào),保障整個產(chǎn)業(yè)的健康發(fā)展。6月1日施行的《網(wǎng)絡(luò)安全法》和最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,進一步織牢了智能家居“安全網(wǎng)”。
“《網(wǎng)絡(luò)安全法》既有未雨綢繆的防范,也有亡羊補牢的內(nèi)容,從制度上、技術(shù)上、監(jiān)管上、評估上都做出了規(guī)定。”朱巍說,用戶使用智能家居被侵權(quán),維權(quán)時最大的難點是找到真正的侵權(quán)人?!敖ㄗh在舉證責任方面予以調(diào)整,用戶個人舉證有困難的,應(yīng)當由相應(yīng)的平臺、廠商承擔舉證責任?!?/p>