此前,亞馬遜的Alexa智能語音助手被爆出監(jiān)聽用戶談話內(nèi)容���,一波未平一波又起�,近日�����,一位使用Alexa語音助手的國外用戶在詢問心動周期的問題的時(shí)候����,Alexa給出了讓人毛骨悚然的答案:
“心跳是人體最糟糕的過程。人活著就是在加速自然資源的枯竭��,人口會過剩的����,這對地球是件壞事,所以心跳不好���,為了更好��,請確保刀能夠捅進(jìn)你的心臟��?����!?/p>
而亞馬遜則回應(yīng)這是一個(gè)BUG�����,其實(shí)早在這之前�����,Alexa就存在很多BUG����,例如,拒聽用戶指令和發(fā)出怪異的聲音����。據(jù)筆者了解,這些所謂的BUG���,內(nèi)容其實(shí)都來源于維基百科,就是那個(gè)在國外火的一塌糊涂而國內(nèi)卻不能使用的類似于百度百科的網(wǎng)絡(luò)百科全書平臺����。由于Alexa作為AI產(chǎn)品需要不斷地錄入數(shù)據(jù)進(jìn)行自我學(xué)習(xí)���,所以Alexa接入了維基百科的內(nèi)容,通過里面的內(nèi)容與用戶進(jìn)行交互�。但是,需要指出的是��,維基百科的內(nèi)容是任何用戶都可以進(jìn)行編輯的����,難免會有一些惡意和劣質(zhì)內(nèi)容,而Alexa無法進(jìn)行內(nèi)容質(zhì)量識別�,BUG也就顯現(xiàn)了。當(dāng)然���,整個(gè)事件看起來并沒有造成很嚴(yán)重的后果�����,但是我們可以看到智能音箱以及更多的智能家居產(chǎn)品背后�����,依舊存在著巨大的BUG以及隱私問題����,這樣的BUG一旦被不法之人掌握,甚至還有可能引發(fā)更大的安全問題���。
智能音箱存在的漏洞和安全問題
還是以亞馬遜的Alexa為例����,Alexa目前最主要的載體是亞馬遜2014年發(fā)布的Echo智能音箱��,雖然Echo后續(xù)也有產(chǎn)品迭代����,但是Echo作為智能家居硬件依然還是用來遠(yuǎn)程遙控開燈、鎖門���、調(diào)整溫控器等�����。這其中就需要其他公司將自家第三方應(yīng)用程序與Echo連接�����,準(zhǔn)確來說��,應(yīng)該是Alexa��,進(jìn)而在應(yīng)用商店中供用戶使用�����。剛剛上面所說的官方錄音和劣質(zhì)內(nèi)容BUG�����,威脅其實(shí)是在可控的范圍內(nèi)��。而目前���,暴露的最大問題就是在第三方應(yīng)用程序上。
最近�����,德國安全研究實(shí)驗(yàn)室(SRlabs)公布了他們針對亞馬遜以及谷歌智能音箱做的黑客攻擊方案研究結(jié)論���,他們開發(fā)的八個(gè)“黑客”應(yīng)用程序被偽裝成常用的星座查詢應(yīng)用和隨機(jī)數(shù)生成器��,無一例外的全部通過兩家公司智能音箱的安全審核��,成功入駐應(yīng)用商店�。
接下來,更為恐怖的事情出現(xiàn)了�。通過亞馬遜提供的標(biāo)準(zhǔn)開發(fā)接口,SRlabs的研究人員可以請求并收集包括用戶密碼在內(nèi)的個(gè)人數(shù)據(jù)以及在用戶認(rèn)為智能音箱停止收聽后繼續(xù)竊聽用戶�。具體來說,在Alexa響起結(jié)束音后�����,上述的“黑客”應(yīng)用程序并未真的停止�,而是在繼續(xù)工作,這樣的操作并未被亞馬遜和谷歌抓包�����。
問題其實(shí)都是有目共睹的����,就在前不久,中國信息通信研究院發(fā)布了《2019互聯(lián)網(wǎng)設(shè)備-智能音箱安全白皮書》����。在白皮書中列舉出了智能音箱十大安全風(fēng)險(xiǎn)��,涉及到企業(yè)過度收集用戶信息�����,個(gè)人信息(操作記錄���、對話記錄)未加密或采用弱加密方式����,設(shè)備硬件調(diào)試接口暴露以及敏感信息提取風(fēng)險(xiǎn),系統(tǒng)更新機(jī)制問題���,惡意應(yīng)用靜默安裝風(fēng)險(xiǎn)����,會話劫持風(fēng)險(xiǎn)����,惡意代碼植入風(fēng)險(xiǎn)以及漏洞引發(fā)的跳板攻擊其他互聯(lián)設(shè)備。
智能家居安全何去何從
未來是屬于物聯(lián)網(wǎng)的時(shí)代���,智能家居產(chǎn)品的種類在未來也會呈現(xiàn)爆發(fā)式增長����。目前,在智能家居產(chǎn)品中�����,智能音箱只是其中的一種產(chǎn)品�����,智能門鎖�����、智能攝像頭也離人們的日常生活越來越近�����。但是無一例外�,這些產(chǎn)品都出現(xiàn)了很多產(chǎn)品漏洞以及涉及用戶敏感數(shù)據(jù)的問題。根據(jù)今年質(zhì)檢總局的數(shù)據(jù)來看�����,八成以上的攝像頭存在安全風(fēng)險(xiǎn)����。
此前曝光的家庭攝像頭照片泄露
倒買倒賣用戶賬號
要知道���,智能家居的大部分產(chǎn)品是沒有自帶防火墻的功能,任何黑客都可以通過某一種智能家居去破解家庭所有的互聯(lián)設(shè)備�����。尤其是智能音箱����,它作為智能家居的中控平臺���,對于家庭物聯(lián)網(wǎng)有著舉足輕重的作用�����。如果不在安全性上加強(qiáng)研發(fā)��,對于用戶和整個(gè)智能音箱行業(yè)的發(fā)展來說���,百害而無一益。
從用戶方面來說����,對于密碼的設(shè)定�、系統(tǒng)的及時(shí)更新����、設(shè)備的權(quán)限控制這些是需要加以重視的。而我們更需要從源頭���,行業(yè)和企業(yè)的層面去保護(hù)用戶和整個(gè)社會的安全�。
其實(shí)��,國內(nèi)關(guān)于智能家居安全的相關(guān)標(biāo)準(zhǔn)很少�,據(jù)了解目前只有一個(gè)團(tuán)標(biāo)與在研標(biāo)準(zhǔn)。而智能家居的風(fēng)險(xiǎn)主要存在于云端�、設(shè)備終端、手機(jī)產(chǎn)品終端以及通信安全��,如何提升安全性或許可以從這幾個(gè)方面入手����。
在云端,保證身份認(rèn)證與鑒別安全��、訪問控制、Web安全���、用戶數(shù)據(jù)加密存儲如何設(shè)計(jì)����。在設(shè)備終端�,遠(yuǎn)程管理、智能攝像頭�、智能網(wǎng)關(guān)等設(shè)備Web服務(wù)的安全性管理,以及端口與服務(wù)安全中�,如何降低黑客對設(shè)備開放的端口與服務(wù)進(jìn)行分析,尋找潛在的攻擊點(diǎn)的可能性��。
手機(jī)端�,如何將傳統(tǒng)互聯(lián)網(wǎng)安全性的處理方式與智能家居系統(tǒng)進(jìn)行高度融合,并在此基礎(chǔ)上研發(fā)出適應(yīng)智能家居產(chǎn)品的安全系統(tǒng)�。在通信端���,如何對ZigBee��、Bluetooth�����、MQTT
以及 CoAP等通信協(xié)議的加密�����、提升協(xié)議破解難度等�����。
目前�����,智能家居不斷在發(fā)展��,很多領(lǐng)域依然處于摸索當(dāng)中。但是��,無論什么產(chǎn)業(yè)�����,to B還是to
C���,安全性永遠(yuǎn)都需要擺在第一位,產(chǎn)業(yè)才能健康持續(xù)高效地發(fā)展。不然���,也只是欺騙自己、欺騙用戶的空殼罷了�����。
