12月5日,第四届世界互联网大会发布年度成果文件《乌镇展望》,指出下一代互联网发展、人工智能应用、数字经济转型等新兴议题已经成为治理新热点。
100多元的智能摄像头、300多元的智能电饭锅、1000多元的扫地机器人,并不高昂的价格和方便的体验,让越来越多的人开始尝鲜,享受智能生活的便利。
然而,伴随着以智能家居为代表的智能设备融入日常生活,个人隐私泄露、生命财产利益遭威胁等安全警报频频响起,让消费者蒙受损失,也困扰着行业的长远发展。
智能家居暗藏风险 80%抽检摄像头存安全隐患
手指轻点,“嘀”的一声,智能门锁已经打开;智能空调让房间温度适宜;扫地机器人把家里打扫得整洁如新;智能电饭锅和智能烤箱里,一顿大餐热气腾腾准备出锅;智能电视和智能音箱只等“发号施令”,就会奉上精彩节目……曾经出现在科幻电影中的场景,正成为越来越多人触手可及的日常。
随着5G通信技术和物联网的大规模应用,万物互联即将成为现实。市场机构预计,到2020年,全球将有500亿台物联网设备;全球智能家居的整体规模将由目前的100亿美元增长至500亿美元,中国或将在2020年以前成为亚洲最大的智能家居市场。
智能家居设备虽然能带来便捷舒适的生活体验,但其背后的安全风险同样不容忽视。
6月,国家质检总局产品质量监督司针对智能摄像头可能存在的信息安全危害,从市面上采集了38个品牌共40批次的样品进行监测。结果显示,80%的批次存在安全隐患。有的样品后端信息系统存在越权漏洞,同一平台内可以查看任意用户摄像头的视频;有的样品允许任意查看或下载存储在后端信息系统的用户注册信息和监控视频。
9月,在2017中国互联网安全大会期间,解码安全团队展示了如何针对特定智能家居设备实行远程控制:智能灯在房间里随意开关,智能摄像头的拍摄角度不再受主人控制,智能门锁密码也能被远程获取。
国家计算机网络应急中心发布的《2016年中国互联网网络安全报告》显示,近年来,随着智能可穿戴设备、智能家居、智能路由器等终端设备与网络设备的迅速发展和普及利用,针对物联网智能设备的网络攻击事件比例呈上升趋势。
黑色产业浮出水面 智能设备成“小偷”和“间谍”
“时刻能见,心无挂念,你想看到的都能帮你看到。”
某电商平台上,一款月销量近万台的智能摄像头把这句话作为宣传语。在手机上随时随地关注家中老人、孩子、宠物的动态,或者实现远程看家、看店、看车,是很多人购买智能摄像头的初衷。
8月初,重庆的黄女士为观察自己的宠物狗,在客厅里安了一个智能摄像头,通过手机就能方便看到客厅的实时画面。有一天,黄女士突然发现自家的摄像头在动,立即打开电脑后台查看,发现除了自己的账号,还有一个陌生用户在监看这个摄像头的信息。
根据此前媒体爆料,只用支付188元,就能获得可以播放家庭摄像头摄制内容的软件,输入相应IP地址、登录名和密码,就能成功登入摄像头,远程查看实时监控画面,甚至可以对画面进行放大缩小。在一些QQ群内,被破解的IP地址甚至会被群主作为招揽人气的礼品,免费向群员发放。
7月,北京警方破获全国首例网上传播家庭摄像头破解软件案,打掉一条犯罪链条,抓获涉案人员24名。涉案人员党某和赵某非法购买摄像头破解软件,破解网络摄像头IP,观看保存或贩卖摄像头拍摄的内容。
对于被入侵的摄像头信息,黑客也不是照单全收。7月,浙江丽水警方查获被破解入侵家庭摄像头IP地址近万个,涉及云南、江西、浙江等地。根据嫌疑人王某供述,如果摄像头的监控画面对着客厅,就不要;如果对着卧室、卫生间等私密场所,价格是10元一条;如果是“有料”的所谓“精品”,则能卖到20元一条,还能在云盘多次贩卖。
“从法律角度看,智能家居设备被破解,导致用户的信息被分享售卖,主要是侵害了用户的隐私权。《民法总则》《刑法修正案(九)》《侵权责任法》《网络安全法》等,都对公民的隐私权和个人信息保护做出了具体的规定。”中国政法大学传播法研究中心副主任朱巍分析。
除了充当窥探隐私的“间谍”,遭到恶意控制的智能家居还可能变成家里的“小偷”甚至“强盗”。复旦大学软件学院副院长韩伟力介绍,智能家居存在的安全问题是全方位的:除了个人信息泄露,还可能因为智能家居设备丧失功能或者功能紊乱,造成家庭财产损失;更有不法分子利用被恶意控制的智能家居设备,进行人身攻击和网络攻击。
比如说,被恶意控制的智能玩具,可能诱导小朋友做出打开大门、爬出阳台等危险动作;被破解的智能门锁、智能保险箱反而成了小偷“内应”,盗窃家庭财产如探囊取物;智能烤箱的温度能被随意提高,最终引发火灾;智能家居还可能被控制形成大规模“僵尸网络”,攻击网络服务器,造成互联网服务大面积瘫痪。
安全篱笆亟待补牢 加大投入用技术对抗技术
11月22日,中国轻工业联合会和中国家用电器研究院联合宣布,启动智能家居团体标准研制工作。业内人士认为,智能家居产品不能重功能、轻安全,应尽快出台智能家居产品的安全规范,探索建立企业隐私保护的信用机制。
“解决物联网智能家居应用的安全问题,首先要对系统安全技术加大投入,用技术对抗技术。”韩伟力说,“分析智能家居可能存在的安全问题并厘清其本质,是一个非常复杂而严肃的科学问题,需要研究人员结合技术本身和应用实际,投入大量的人力物力进行广泛深入的工作。而这方面,通常被智能家居和物联网领域的产业人士所轻视。”
小米物联网平台研发总监张彦路坦言,智能家居设备品类多,使用场景复杂,具有一定技术门槛。产品的安全性设计要做到全面,企业不仅需要足够的技术实力,还需要经验积累和成本付出。目前,“有品”平台上的产品采取内置唯一密钥、为智能锁等敏感设备定制独立安全芯片硬件等做法保障安全,这些技术同时也向社会开放。
国家计算机网络应急中心建议,智能设备生产厂商应做好设备全生命周期的安全保障工作,制定完善的网络安全应急处置预案;发现设备存在漏洞或被植入恶意程序时,能够提供在线升级功能,或及时通知用户手动修复。
智能家居安全问题是系统问题,需要技术、管理和法律法规协调,保障整个产业的健康发展。6月1日施行的《网络安全法》和最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步织牢了智能家居“安全网”。
“《网络安全法》既有未雨绸缪的防范,也有亡羊补牢的内容,从制度上、技术上、监管上、评估上都做出了规定。”朱巍说,用户使用智能家居被侵权,维权时最大的难点是找到真正的侵权人。“建议在举证责任方面予以调整,用户个人举证有困难的,应当由相应的平台、厂商承担举证责任。”
请输入验证码