“智能攝像頭被曝導致大量用戶隱私泄露。”昨天媒體的一則報道,揭開了物聯(lián)網(wǎng)智能設(shè)備安全漏洞的冰山一角。
智能燈具、智能插座、智能手表、寵物嬰兒監(jiān)控器……當你購買這些智能家電的時候,或許不會想到,智能燈泡數(shù)據(jù)可能為小偷提供作案時間,智能攝像頭正在現(xiàn)場直播你的生活場面,而智能冰箱也可作為垃圾郵件的發(fā)送端。
“大數(shù)據(jù)”時代,用戶的網(wǎng)上行為數(shù)據(jù)往往在不知情的情況下被獲取。專家提醒,目前市場上的物聯(lián)網(wǎng)設(shè)備,至少一半都處于“裸奔”狀態(tài),存在安全漏洞極易被攻擊。
智能兒童表
你的孩子可能被實時監(jiān)控
臨近暑假,上海市場上面對少兒的智能家電正熱賣。昨天,記者來到市區(qū)某電子市場,發(fā)現(xiàn)近一半的柜臺都把兒童智能手表放在最顯眼的地方。商家的廣告直擊家長“痛點”:“兒童智能手表,孩子手上的貼身保鏢”“擔心孩子走失,那就給他戴款智能手表”。
“兒童智能手表銷量第一,其次是智能學習機和智能機器人。”一個商家告訴記者,這幾周的銷量都是平日的兩倍以上。
兒童智能手表價格參差不齊,便宜的一兩百、貴的近千元,功能大多雷同:向家長提供孩子的位置信息、支持雙向電話、語音群聊,部分還能接收文字信息。
記者隨機采訪了多位購買兒童智能手表的顧客,都認為手表“很實用”。一個媽媽表示:“現(xiàn)在小學生幾乎人手一個,家長能和孩子隨時通話,也能看到孩子行走的軌跡,走哪兒家長心里都有數(shù)。”讓她不滿意的是,最新款的手表都升級到了4G,增加了不必要的游戲功能。至于安全風險,大多數(shù)人都表示沒想過。
近日,國內(nèi)最大的安全眾測平臺“烏云”,發(fā)布了兒童智能手表的一份報告:淘寶銷量前32位的兒童智能手表,有13款存在接口越權(quán)漏洞,可導致超百萬兒童被黑客實時監(jiān)控,獲取兒童的日常行走軌跡,實時環(huán)境聲音等。“烏云”的“白帽子”還現(xiàn)場演示,只要得到父母的手機號,或者是進入系統(tǒng)平臺,便可破解該手機號關(guān)聯(lián)的孩子的手表,從而獲取實時定位、全部行走路線。
更令人意外的是,現(xiàn)在很多智能手表都有通話、監(jiān)聽、錄音等功能,通過這些漏洞,不法分子可隨時聽到孩子的聲音,了解孩子所處的環(huán)境。若手表放在家里,也隨時可錄制到家長的對話,無論對于小孩和家長,都存在比較大的隱私泄漏危險。
中國兒童智能手表市場正在快速發(fā)展,根據(jù)統(tǒng)計,2017年第一季度,中國兒童智能手表市場出貨量高達351萬臺,同比增長64.9%。隨著手表由2G向4G升級,功能越來越多,也伴隨著風險的成倍疊加。
孩子安全的第一守衛(wèi)者并不是電子產(chǎn)品,而應(yīng)該是家長,家長的監(jiān)護責任是任何電子產(chǎn)品都不能替代的。此外,讓孩子學習一些安全常識,樹立孩子自我保護意識也十分必要。
智能云存儲
每30秒受到1次黑客攻擊
“云存儲”早就不是新鮮事物,伴隨著物聯(lián)網(wǎng)的發(fā)展,越來越多的智能家電也能與手機聯(lián)網(wǎng),在“云端”使用存儲信息。輕觸“上傳”“保存”,原本需要存儲在實體工具中的大容量文件,只需幾步就能輕松保存到網(wǎng)絡(luò)“云端”。但隨之而來的,是個人隱私數(shù)據(jù)泄露的憂慮。
數(shù)據(jù)容量動輒以TB計數(shù)的時代,網(wǎng)絡(luò)“云”能否真正有效保障個人信息不被泄露?
昨天,記者注冊多個云平臺,大多數(shù)運營商在《用戶協(xié)議》中承諾,“不會公開或向第三方提供用戶存儲在云服務(wù)上的非公開內(nèi)容”,細讀下去,后面一句卻另有深意,“除非有下列情況”。這些免責內(nèi)容,大多包含在數(shù)千字的《用戶協(xié)議》中,極易忽視。
“下列情況”大多包括:用戶資料遭到未授權(quán)的使用或修改,造成的有形或無形損失,運營方不承擔任何直接、間接的賠償。還有一些看似提醒實則霸道的《服務(wù)協(xié)議》描述,例如:“(運營方)有權(quán)在無需事先通知用戶的情況下,采取一切認為必要的措施”。
看不見摸不著的“云盤”,真的安全嗎?事實上,云盤平臺一直以來都是黑客攻擊的重點目標,“有些云盤,平均每30秒就受到一次黑客攻擊。”一位業(yè)內(nèi)人士告訴記者。
互聯(lián)網(wǎng)安全專家佟力強提醒,選擇可信度高的網(wǎng)絡(luò)產(chǎn)品服務(wù)提供商,使用新技術(shù)新產(chǎn)品前,一定要注意看《產(chǎn)品用戶協(xié)議》,明白自己的權(quán)利義務(wù)。一些涉及重要人身隱私財產(chǎn)的信息,不要輕易上傳云端。在發(fā)現(xiàn)違法犯罪行為時,應(yīng)及時向網(wǎng)信、公安部門舉報,并留存好相關(guān)證據(jù)材料。
近半年來,關(guān)于云盤泄露個人信息的事件層出不窮,中國政法大學知識產(chǎn)權(quán)研究中心特約研究員李俊慧認為,當前對互聯(lián)網(wǎng)領(lǐng)域相關(guān)的規(guī)定還亟須完善,云數(shù)據(jù)儲存需要厘清個人、運營商和監(jiān)管者的權(quán)責界線。
智能家電
一旦染毒隱私無處可藏
5月,勒索病毒爆發(fā),僅僅2天時間就造成了全球150多個國家的20多萬人受影響,高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府辦事終端等多個領(lǐng)域受到侵害。很多人驚魂未定,“智能家電也有可能被病毒感染嗎?”
“現(xiàn)在的物聯(lián)網(wǎng)設(shè)備基本都是在‘裸奔’。”專注物聯(lián)網(wǎng)安全投資的永洲創(chuàng)投創(chuàng)始合伙人陸一舟“語出驚人”。
他舉例稱:有家廠商為了檢測一款空調(diào)的噪音以改進產(chǎn)品,就在空調(diào)里安裝了收集聲音的裝備,這些設(shè)備可以回傳眾多空調(diào)的分貝數(shù)。但就是這么一個裝備,很快被外部的安全專家發(fā)現(xiàn)了漏洞,只需要略施小計,就可以將其變成“竊聽器”。
互聯(lián)網(wǎng)安全專家肖新光則舉例:現(xiàn)在很多人家里都買了掃地機器人,這個機器人都有麥克、攝像頭等裝置,也需連接網(wǎng)絡(luò),這就相當于是一臺潛在的監(jiān)控設(shè)備。一旦遭到攻擊,家庭隱私也就無處可藏。
2016網(wǎng)絡(luò)安全大會,一個解碼安全團隊通過攻擊智能插座,實現(xiàn)了利用插座發(fā)布微博。他們在接入到智能家居的控制網(wǎng)絡(luò)后,利用漏洞攻擊智能插座,獲得APP端的認證信息,從而遠程控制智能插座,再利用協(xié)議上的漏洞,便可以通過一個智能插座來發(fā)送微博。
“現(xiàn)在向物聯(lián)網(wǎng)轉(zhuǎn)型的企業(yè),多數(shù)都是白色家電企業(yè)出身。他們的安全能力嚴重不足,固有思維是追求硬件的標準化,而黑客就是喜歡標準化的硬件。”一位業(yè)內(nèi)人士告訴記者。
專家點評
看似智能的家電,在黑客攻擊面前往往不堪一擊。切實有效的應(yīng)對之策在哪里?最新的方向是區(qū)塊鏈技術(shù),相比備受爭議的比特幣,其背后的區(qū)塊鏈技術(shù),被認為有望改變世界的未來。
區(qū)塊鏈就像一個數(shù)據(jù)庫賬本,記載所有的交易記錄。區(qū)塊鏈完整保存所有交易記錄的特點讓任何人都無法從中作假。簡單來說,區(qū)塊鏈就是一臺創(chuàng)造信任的機器、一個安全可信的保險箱,可以讓互不信任的人,在沒有權(quán)威中間機構(gòu)的統(tǒng)籌下,還能愉快地進行信息互換與價值互換。這種安全、便捷的特性逐漸得到了銀行與金融業(yè)的關(guān)注。
去年底,復旦大學計算機科學技術(shù)學院成立“區(qū)塊鏈技術(shù)聯(lián)合創(chuàng)新中心”。昨天,記者采訪復旦大學軟件學院副院長韓偉力教授,他表示,“區(qū)塊鏈可以提供一種可信賴的數(shù)據(jù)服務(wù),因此可以廣泛用于各類物聯(lián)網(wǎng)應(yīng)用中,所以應(yīng)用到智能家電也是可行的。”
以智能攝像頭泄露隱私事件為例,如果使用區(qū)塊鏈技術(shù)是否可以避免?韓偉力教授解釋,“使用區(qū)塊鏈技術(shù),可以方便物聯(lián)網(wǎng)各個節(jié)點之間建立信任關(guān)系,也即可以讓用戶與攝像頭、甚至各個物聯(lián)網(wǎng)節(jié)點之間的相互認證變得更加便捷。當然這需要進一步地研發(fā)相關(guān)的應(yīng)用系統(tǒng),從系統(tǒng)、使用管理共同入手,才能保障智能家電的安全,并保護用戶隱私。”
相關(guān)鏈接
“物聯(lián)網(wǎng)安全,消費者能做的并不多”,互聯(lián)網(wǎng)安全專家肖新光說,“不像電腦、手機等設(shè)備具有諸如下載殺毒軟件等成熟的安全措施,智能硬件無法形成交互。”
這就對物聯(lián)網(wǎng)設(shè)備廠商提出了更高的要求,“但現(xiàn)在的智能家電生產(chǎn)商,大多都是生產(chǎn)‘白家電’出身,安全意識淡漠。”360創(chuàng)始人CEO周鴻祎在去年的網(wǎng)絡(luò)安全大會上稱,“做企業(yè)做了11年,最無奈的還是國內(nèi)企業(yè)對網(wǎng)絡(luò)安全的漠視”。
多位安全專家提出,需要通過改變規(guī)則、制定法律等辦法來明確智能硬件廠商的安全責任,尤其對于隱私、數(shù)據(jù)的合理采集、合法使用及妥善保管等方面。
目前,物聯(lián)網(wǎng)時代的基礎(chǔ)設(shè)施并不完善,包括云平臺、通訊技術(shù)、信息傳輸?shù)确矫娴陌踩夹g(shù)保障都還不完善,尤其對于可穿戴設(shè)備產(chǎn)業(yè)而言,目前更多的是在硬件的產(chǎn)業(yè)鏈技術(shù)環(huán)節(jié)進行搭建,對于系統(tǒng)平臺方面的安全考慮并不到位。
“現(xiàn)在很多的終端設(shè)備,既沒有密碼也沒有保護程序,想要獲得一個傳感器的控制權(quán)相當?shù)暮唵巍?rdquo;業(yè)內(nèi)人士透露。
智能家電收集用戶信息,收集后都會儲存在自己廠家的云端,或者租用大公司的云服務(wù)器儲藏,而一些實力小的公司,會存在用戶信息泄露的問題,這樣就給黑客一個可乘之機。
