網(wǎng)絡(luò)消費(fèi)網(wǎng) >  家電 > > 正文
智能音箱向有屏、無(wú)屏音箱持續(xù)滲透,安全風(fēng)險(xiǎn)不容小覷
時(shí)間:2022-03-17 16:43:48

近年來(lái),智能音箱等智能家居產(chǎn)品逐漸走入千家萬(wàn)戶,為人們的居家生活增添了便利和樂(lè)趣。IDC發(fā)布的《中國(guó)智能音箱零售市場(chǎng)月度追蹤》報(bào)告顯示,2021年中國(guó)智能音箱市場(chǎng)銷量為3654萬(wàn)臺(tái),同比增長(zhǎng)20.1%,預(yù)計(jì)2022年市場(chǎng)銷量將達(dá)到3725萬(wàn)臺(tái)。

智能音箱正在向有屏、無(wú)屏音箱持續(xù)分化:一種是在傳統(tǒng)智能音箱上進(jìn)一步升級(jí),通過(guò)增加屏幕、攝像頭逐漸向家用平板、智慧屏靠近。另一種則是進(jìn)一步輕量化、無(wú)線化和模塊化,主要定位智能家居的智能音頻控制、交互入口,未來(lái)智能音箱將繼續(xù)滲透,嵌入到更多家居、家電內(nèi)。隨著智能音箱功能逐漸多元化,信息技術(shù)手段愈發(fā)復(fù)雜,其安全風(fēng)險(xiǎn)也漸漸浮出水面。

智能音箱安全風(fēng)險(xiǎn)不容小覷

智能音箱安全風(fēng)險(xiǎn)主要分為以下兩個(gè)方面。

一是因?yàn)橹悄芤粝渌傻墓δ芏鄻踊换ソ涌跀?shù)量增長(zhǎng),可能被攻擊的入口逐漸增多,安全風(fēng)險(xiǎn)不斷擴(kuò)大。2019年,Google Home被攻破,攻擊者可以通過(guò)遠(yuǎn)程指令操控目標(biāo)設(shè)備。如果事件一旦升級(jí),可能導(dǎo)致數(shù)百萬(wàn)用戶個(gè)人信息泄露,輕則導(dǎo)致用戶遭受詐騙、資金被盜用,重則導(dǎo)致用戶的人身安全受到威脅,影響社會(huì)穩(wěn)定。

二是智能音箱產(chǎn)品定位及個(gè)性化功能產(chǎn)生的需求,導(dǎo)致其收集了大量用戶隱私信息及交互數(shù)據(jù),由此可能產(chǎn)生違規(guī)收集用戶個(gè)人數(shù)據(jù)的安全隱患。2019年,有媒體披露亞馬遜雇傭數(shù)千員工監(jiān)聽(tīng)旗下智能音箱Amazon Echo用戶的日常錄音,甚至將1700余用戶的語(yǔ)音數(shù)據(jù)違規(guī)泄露,導(dǎo)致用戶在不知不覺(jué)間受到了電商騷擾、電信詐騙等一系列影響。

中國(guó)軟件評(píng)測(cè)中心選取了市面暢銷的多臺(tái)有屏智能音箱和無(wú)屏智能音箱,從網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息安全等多個(gè)角度進(jìn)行測(cè)評(píng)。

1.智能音箱網(wǎng)絡(luò)安全與數(shù)據(jù)安全

智能音箱APP安全。測(cè)評(píng)專家測(cè)試了智能音箱APP安全方面,包括組件安全檢測(cè)、Manifest文件檢測(cè)、Webview安全檢測(cè)、網(wǎng)絡(luò)通信安全檢測(cè)、弱加密風(fēng)險(xiǎn)檢測(cè)、數(shù)據(jù)安全檢測(cè)、系統(tǒng)漏洞檢測(cè)、so文件風(fēng)險(xiǎn)檢測(cè)、隱私權(quán)限檢測(cè)、隱私行為檢測(cè)等測(cè)試項(xiàng)。在測(cè)試過(guò)程中,專家通過(guò)對(duì).apk文件進(jìn)行反編譯,采用自動(dòng)化掃描與人工滲透相結(jié)合的技術(shù)手段以發(fā)現(xiàn)其存在的安全問(wèn)題。

經(jīng)測(cè)評(píng),測(cè)評(píng)范圍內(nèi)的智能音箱APP均未檢測(cè)出嚴(yán)重漏洞,能夠有效避免用戶信息泄露。

智能音箱通信數(shù)據(jù)傳輸安全。測(cè)評(píng)專家在智能音箱系統(tǒng)與服務(wù)器端的通信過(guò)程中,動(dòng)態(tài)采集傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。針對(duì)智能音箱聯(lián)網(wǎng)通信和連接維護(hù)全過(guò)程的加密算法方面,使用Wireshark工具和人工審計(jì)的方式,進(jìn)行了安全分析和評(píng)估。

經(jīng)測(cè)評(píng),某智能音箱設(shè)備在與服務(wù)器端進(jìn)行通信過(guò)程中,存在日志文件明文傳輸,導(dǎo)致用戶敏感信息泄露等問(wèn)題。傳輸?shù)娜罩局邪O(shè)備信息、日志信息和語(yǔ)音轉(zhuǎn)換出的文本信息,造成了信息泄露。智能音箱系統(tǒng)與固件升級(jí)安全。測(cè)評(píng)專家首先對(duì)智能音箱系統(tǒng)與固件做了降級(jí)風(fēng)險(xiǎn)測(cè)試,發(fā)現(xiàn)大部分設(shè)備采取了“升級(jí)檢測(cè)”和“固件簽名”的措施,鎖定了串口和USB接口,用戶無(wú)法自行降級(jí),保護(hù)了智能音箱的安全。其次,專家對(duì)智能音箱固件更新請(qǐng)求通信過(guò)程進(jìn)行了分析,通過(guò)分析更新請(qǐng)求數(shù)據(jù)包,發(fā)現(xiàn)部分設(shè)備通過(guò)HTTP協(xié)議明文傳輸固件升級(jí)請(qǐng)求。從數(shù)據(jù)包中可以獲取固件下載地址,引發(fā)固件泄露風(fēng)險(xiǎn)。同時(shí),使用不安全的通信協(xié)議可能面臨中間人攻擊的風(fēng)險(xiǎn)。

經(jīng)測(cè)評(píng),部分智能音箱固件升級(jí)通信過(guò)程存在URL暴露風(fēng)險(xiǎn),可能發(fā)生固件泄露事件。

2.智能音箱用戶個(gè)人信息安全

個(gè)人信息收集使用規(guī)則。為了給用戶提供更加精準(zhǔn)的定制化服務(wù),智能音箱會(huì)收集用戶的個(gè)人信息,包括位置信息、通信錄信息、音視頻信息等敏感數(shù)據(jù)。中國(guó)軟件評(píng)測(cè)中心對(duì)多款音箱的個(gè)人信息收集使用規(guī)則進(jìn)行了合規(guī)性檢測(cè)。

在對(duì)個(gè)人信息收集使用規(guī)則進(jìn)行檢測(cè)的過(guò)程中,測(cè)評(píng)專家主要對(duì)各智能音箱產(chǎn)品的隱私政策進(jìn)行了詳細(xì)解讀,并對(duì)其中存在的一些疑問(wèn)與企業(yè)進(jìn)行了訪談。參與測(cè)評(píng)的智能音響產(chǎn)品都擁有完整的個(gè)人信息保護(hù)政策,并且能夠在實(shí)際應(yīng)用中付諸實(shí)踐。

但智能音箱在收集使用個(gè)人信息的過(guò)程中,仍存在過(guò)度收集用戶個(gè)人信息的情況。例如,在進(jìn)入智能音箱APP之后,會(huì)自動(dòng)收集用戶語(yǔ)音數(shù)據(jù)用于模型訓(xùn)練,但未對(duì)用戶進(jìn)行明顯提示。部分產(chǎn)品的隱私聲明未對(duì)個(gè)人信息的采集頻率以及存儲(chǔ)時(shí)間進(jìn)行明確說(shuō)明。

個(gè)人信息主體注銷賬戶。用戶對(duì)智能音箱存儲(chǔ)的個(gè)人用戶信息應(yīng)該完全可控,在用戶要求進(jìn)行賬戶注銷或用戶數(shù)據(jù)銷毀時(shí),智能音箱、控制端APP或云端服務(wù)應(yīng)向用戶提供簡(jiǎn)單便捷的操作方式,并且在注銷過(guò)程中不應(yīng)設(shè)置不合理的條件或提出額外要求增加個(gè)人信息主體義務(wù),如注銷單個(gè)功能視同注銷主體賬號(hào),要求個(gè)人信息主體填寫精確的歷史操作記錄作為注銷的必要條件等。

經(jīng)過(guò)對(duì)參與測(cè)評(píng)的智能音箱產(chǎn)品進(jìn)行檢測(cè),部分智能音箱賬戶注銷及用戶數(shù)據(jù)銷毀仍存在難題。當(dāng)用戶注銷智能音箱賬戶時(shí),會(huì)將此賬戶下所有產(chǎn)品及服務(wù)注銷,使用戶管理個(gè)人信息增加了諸多不便。

智能音箱生產(chǎn)企業(yè)和使用者雙管齊下

中國(guó)軟件評(píng)測(cè)中心針對(duì)以上測(cè)評(píng)內(nèi)容,從企業(yè)和用戶的角度出發(fā)為智能音箱安全建設(shè)提出以下建議。

1.對(duì)智能音箱生產(chǎn)企業(yè)的建議

首先,加強(qiáng)產(chǎn)品網(wǎng)絡(luò)和數(shù)據(jù)安全合規(guī)建設(shè)。在網(wǎng)絡(luò)安全層面,可以從以下三個(gè)方面加強(qiáng)產(chǎn)品的安全保障。一是對(duì)于智能音箱操作系統(tǒng)的漏洞及時(shí)進(jìn)行修復(fù),加強(qiáng)系統(tǒng)配置安全和端口安全管理;二是對(duì)系統(tǒng)固件和移動(dòng)應(yīng)用進(jìn)行安全加固,包括但不限于簽名校驗(yàn)、加殼、防內(nèi)存修改等手段;三是在服務(wù)器端和智能音箱APP引入并重視安全測(cè)試,定期開(kāi)展?jié)B透測(cè)試和風(fēng)險(xiǎn)評(píng)估。

在數(shù)據(jù)安全層面,應(yīng)落實(shí)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定,進(jìn)行數(shù)據(jù)全生命周期安全防護(hù),做到收集信息應(yīng)授權(quán)、傳輸存儲(chǔ)應(yīng)加密、加工使用應(yīng)脫敏、刪除數(shù)據(jù)應(yīng)徹底、提供公開(kāi)應(yīng)合法。

其次,規(guī)范對(duì)用戶個(gè)人信息的收集使用規(guī)則。產(chǎn)品在收集用戶個(gè)人信息等方面應(yīng)不具備強(qiáng)制性,根據(jù)功能將用戶信息收集模塊化,不因某信息用戶未授權(quán)而拒絕提供服務(wù)。

在收集、使用用戶個(gè)人信息過(guò)程中,應(yīng)對(duì)收集信息的內(nèi)容、方式、范圍、目的、頻次、精準(zhǔn)度等進(jìn)行詳細(xì)說(shuō)明,其中,對(duì)于用戶敏感信息的收集,應(yīng)有明顯提示;對(duì)于個(gè)人信息的使用,如是否會(huì)向第三方、境外提供數(shù)據(jù)應(yīng)進(jìn)行詳細(xì)說(shuō)明;對(duì)于個(gè)人信息的撤銷授權(quán)、申請(qǐng)刪除、投訴舉報(bào)的渠道和方法,應(yīng)提供全面且便于理解的操作說(shuō)明。

2.對(duì)智能音箱用戶的建議

首先,關(guān)注產(chǎn)品收集使用個(gè)人信息規(guī)則。關(guān)注產(chǎn)品收集和使用個(gè)人信息規(guī)則,可以從以下兩個(gè)方面進(jìn)行:一是關(guān)注注冊(cè)信息,在隱私協(xié)議中詳細(xì)查閱產(chǎn)品收集的內(nèi)容、目的、頻次、精確度等內(nèi)容,并明確其加工、使用、第三方共享的條款內(nèi)容,保障自身利益;二是注冊(cè)并登錄后,進(jìn)入設(shè)置或用戶授權(quán)管理等頁(yè)面,查看產(chǎn)品授權(quán)信息,并依據(jù)需求關(guān)閉敏感信息的授權(quán)。如遇強(qiáng)制收集或違法使用個(gè)人信息的情況,應(yīng)及時(shí)向監(jiān)管部門進(jìn)行舉報(bào)。

其次,關(guān)注賬號(hào)信息安全。智能音箱控制端賬號(hào)通常為多APP、多產(chǎn)品共用。而智能音箱作為智能家居的控制入口之一,具備控制其他設(shè)備的功能,其賬號(hào)一旦泄露或被竊取,登錄了其他智能音箱設(shè)備,安全風(fēng)險(xiǎn)會(huì)通過(guò)智能音箱放大,造成更大威脅。賬號(hào)密碼應(yīng)具備一定復(fù)雜度并定期更換,避免與其他賬戶公用密碼,不要點(diǎn)擊他人發(fā)送的可疑鏈接。

最后,關(guān)注廢舊設(shè)備個(gè)人信息處理。智能音箱設(shè)備即便已經(jīng)丟棄,但存在里面的數(shù)據(jù)仍有泄露的風(fēng)險(xiǎn)。經(jīng)測(cè)評(píng)發(fā)現(xiàn)多個(gè)品牌智能音箱,在離開(kāi)主人并接入新的網(wǎng)絡(luò)環(huán)境后,未經(jīng)驗(yàn)證即可正??刂圃~號(hào)下綁定的設(shè)備,甚至部分有屏音箱,可以直接查看其綁定的攝像頭。建議用戶在丟棄產(chǎn)品前應(yīng)退出個(gè)人賬號(hào)、刪除設(shè)備信息或重置設(shè)備,同時(shí)選取較為安全的丟棄方式,如選擇可靠的廢舊電子設(shè)備回收機(jī)構(gòu)。

關(guān)鍵詞: 智能音箱 無(wú)屏音箱 安全風(fēng)險(xiǎn) 智能家居

版權(quán)聲明:
    凡注明來(lái)網(wǎng)絡(luò)消費(fèi)網(wǎng)的作品,版權(quán)均屬網(wǎng)絡(luò)消費(fèi)網(wǎng)所有,未經(jīng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明"來(lái)源:網(wǎng)絡(luò)消費(fèi)網(wǎng)"。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
    除來(lái)源署名為網(wǎng)絡(luò)消費(fèi)網(wǎng)稿件外,其他所轉(zhuǎn)載內(nèi)容之原創(chuàng)性、真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考并自行核實(shí)。
熱文

網(wǎng)站首頁(yè) |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書(shū)面授權(quán) 不得復(fù)制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號(hào):京ICP備2022016840號(hào)-15

營(yíng)業(yè)執(zhí)照公示信息