在日前的Def Con安全大会上,两名安全研究职员丹尼斯・吉斯(Dennis Giese)和布莱恩(Braelynn)发布了科沃斯旗下产品安全漏洞,称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。
针对旗下产品存在安全漏洞的质疑,科沃斯向南都湾财社回应称,用户不必为此事过虑,现在节制的情形是不会影响到普通用户。两位黑客展示的是技能攻防中的破解手段,在日常生活中是非正常手段,是技能层面的,这在日常利用环境下基本不存在,不会对消费者日常利用产生影响。
实际上,随着万物互联时期的到来,科沃斯陷入隐私安全漏洞的背后,也是全体智能家居行业所面临的发展寻衅。
南都湾财社梳理看到,在智能家电领域,近年来除了科沃斯,还有遐想、小米、华为、复兴、TP-LINK、萤石、小度等多款家电产品如摄像头、智能音箱、儿童智好手表等曾涌现过信息安全漏洞。干系事宜中,如何看待智能家居品牌答允担的隐私安全任务和责任?为何智能家居设备的隐私安全问题会成为“沉疴痼疾”?
层出不穷的隐私安全问题:
萤石、小度等都曾陷入“隐私门”
过往案例中,不少有名家电品牌都曾陷入隐私安全问题。以海康威视子公司萤石网络为例,作为一家计策定位为物联网云平台做事和智能家居业务,萤石网络成立于2015年。招股书称,萤石网络在智能家居摄像机、智能猫眼、智能门锁等产品的细分领域均处于市场领先地位。
但其此前曾因陷入隐私安全问题而备受关注。2021年12月,有网友在某短视频平台发布视频称,自己通过萤石云视频查看自家监控时,意外创造App内可以显示其他小区的实时监控视频,视频内容乃至包括保安室、楼道等,许多网友纷纭表示“细思极恐”。
百度旗下小度的智能音箱也曾涌现过隐私安全问题,缘故原由也出自摄像头。2022年7月,“女子玩智能音响创造多名房客被拍”“小度回应女子玩智能音响创造多名房客被拍”等多个词条曾相继登上微博热搜,引发热议。
据南都此前宣布,羊女士(化名)在辽宁本溪一家民宿的房间里操作智能音箱时创造,音箱上有摄像头,且该设备已开启“通知模式”。羊女士表示,创造情形时这台智能音箱已捕捉到六七段自己和朋友在房间走动的视频,设备内还存储了不少其他顾客的隐私视频,其感到非常不舒畅。
其后,羊女士与房东沟通哀求退房并报警,在带领警察去民宿内取证时创造智能音箱已被取走。此外,羊女士表示,在和警方沟通的过程中,创造该民宿并未在公安系统中报备。网友根据羊女士发布的视频指出,民宿内利用的智能音箱是百度旗下的小度智能屏产品。
针对此事,小度官方曾回应称,小度智能屏的“通知助手”功能是为帮助用户在异地通知老人和孩子,其不会默认、自动开启摄像头及该功能,仅设备管理员有权限开启,且利用该功能时小度设备端会收到明确提醒。
不仅是海内,国外的智能家居品牌也曾涌现过不少隐私安全问题。2020年,iRobot的Roomba J7系列扫地机器人拍摄的照片,被委内瑞拉一家卖力给其网络的图像进行标记的承包商,将一名女性用户在家中上厕所的图片发到了网上,包括一些敏感的家庭生活场景。这些照片原来用于机器学习和产品改进,但由于事情职员未遵守隐私协议,导致信息透露事宜。
各地消保委测评:
遐想、华为、小米、复兴等摄像头都曾存在信息安全隐患
值得把稳的是,智能家居产品层出不穷的信息安全问题,并不是未曾受到关注。近年来,全国各地的消费者权柄保护委员会也曾在测评中创造不少问题。
南都湾财社梳理看到,以2023年河北省石家庄市消保委对长虹、华为、读书郎、小天才、小寻、清华同方、360、顺新亿、守护佳等12款儿童智好手表样品的比较试验为例,其报告惊人地显示:测试的全部样品在信息安全检测方面均存在不同程度的高危漏洞。
河北省石家庄市消保委果信息安全检测,紧张是从恶意程序、权限滥用和隐私透露三个方面对样品的信息安全开展测评。恶意程序检测项紧张是评估产品运用程序的自身防护机制以及是否存在高危漏洞,权限滥用检测项紧张是评估产品运用程序是否具备访问掌握策略,隐私透露检测项紧张是评估个人信息保护政策是否清晰、准确、完全地描述个人信息掌握者的个人信息处理行为,三项均是根据T/CPQS E00037-2022网联消费电器信息安全通用技能有关哀求对产品开展评价。
结果显示,12款样品在权限滥用与隐私透露两个检测项目上表现同等,均具备访问掌握策略,个人信息保护政策清晰、准确,能完全描述个人信息掌握者的个人信息处理行为。但在恶意程序检测项方面,12款样品则都存在不同程度的高危漏洞。
个中,PLOYER、小寻、清华同方等品牌样品存在高危漏洞最多,达3个。而华为品牌样品的高危漏洞有2个,读书郎品牌样品的漏洞有1个。
除了儿童腕表,还有消保委对摄像头产品进行比较试验,同样创造了诸多信息安全隐患。2023年,广西消费者权柄保护委员会发布的家用摄像头比较试验结果显示:15款样品中,存在信息安全隐患的产品涉及遐想Lenovo、小值、海雀(华为)、小米、ZTE复兴、TP-LINK等10个品牌。
广西消费者权柄保护委员会的信息安全指标测试,紧张参照推举性国家标准GB/T35273-2020《信息安全技能 个人信息安全规范》,对“网络个人信息的最小必要”和“网络个人信息时的授权赞许”两个项目,分别在iOS系统和安卓系统上进行检测和比拟。
测试结果显示,家用摄像头商品的APP普遍存在信息安全隐患。15款家用摄像头样品的APP信息安全测试项目中,除“萤石”“魔方鸟”的摄像头样品外,别的13款摄像头样品均存在部分项目不符合推举性国家标准的情形,个中“遐想”的样品全部不符合推举性国家标准。
智能家居设备面临隐私安全寻衅
为何智能家居隐私安全问题层出不穷难化解?北京师范大学法学院博士生导师、中国互联网协会研究中央副主任吴沈括向南都湾财社表示,核心的根本缘故原由还是商家的创收、盈利冲突,因此可能在采集数据的过程当中涌现遮盖以及超限采集等不法情形。此外,在采集之后,商家疏于对数据安全的保护事情,同时由于创收盈利的冲突会涌现对付个人信息和其他数据的滥用情形。
智能家居设备可能存在哪些漏洞和安全隐患?北京汉华飞天信安科技有限公司总经理彭根向南都湾财社指出,多数智能家居设备,无论是蓝牙还是WiFi连接,都有其代码逻辑,只要有这种逻辑,就可能存在漏洞。“比如说它是一个WiFi但不是路由器,但它见告所有设备‘我是一个路由器’,那么其他设备是没办法去甄别它的,可能直接默认就连接上了。这样的话WiFi欺骗的情形出身了,也是漏洞出身的一个逻辑。”
如何戒备类似事宜的发生?彭根建议,用户如果创造智能家居设备有麦克风、摄像头等功能,只管即便选择将其放在离因私交况较远的地方;此外,要管理好账户,不要随便换口令,采纳必要的安全方法,如断开物联网设备的互联网连接,以降落被远程攻击的风险。同时,用户也应对家中的智能设备进行定期的安全检讨,确保其固件和软件更新至最新版本,以减少被利用的安全漏洞。
吴沈括认为,对用户而言,一方面在利用此类产品和做事的过程当中要有自我保护意识,包括对付做事协议、做事条款的负责阅读。同时,在利用过程中,把稳最小限度地供应与隐私强干系的个人信息和其他数据。此外,在创造非常情形乃至违法环境时,要及时主动向产品做事供应者或者主管机关、监管机关做出投诉举报,以此来最大限度地保护自身合法权柄。
目前,我国的法律法规对智能家居设备在信息采集与利用方面,已有一些行业统一标准和法律约束。
工信部、国标委印发的《聪慧家庭综合标准化体系培植指南》曾明确,要着重研制用户个人信息安全、数据安全和系统安全等标准,提升家当基本安全保障能力。不论从市场还是规范角度看,如何堵上这一漏洞关乎智能家电的未来发展。对此,已有包括国家标准、行业标准在内的多部标准相继出台,建立了智能家居的安全基准,为智能家电利用者的隐私安全保驾护航。例如,行业标准《物联网智能家居安全技能哀求》规定,应担保网络的数据最小化原则,仅采集和保存业务必须的用户个人信息;应担保用户拥有充分的知情权。
不过,智能家居设备的数据网络事情,每每是为了提升产品的智能化,该如何兼顾智能化和隐私安全?
彭根认为,智能设备的数据网络,现在已有的《数据安全法》和《个人信息保护法》,都对数据安全和个人信息保护有相应的条款和哀求。“比如我们常说到的个人隐私数据网络提前奉告,让用户充分赞许是否实施一些删除的权限等,目前法律层面已经有清晰的划分。”
吴沈括认为,两者的兼顾要做到两点,第一是要充分尊重用户的自主选择,在全面表露干系信息的根本上,得到用户的志愿和明确授权。此外,商家应该恪守商业底线,抑制自身的创收冲动,以免涌现对付用户信息的超限滥用。
采写:南都湾财社 严兆鑫
