便利与安全之间智能家居与数据保护

常莽

根据预测，到2025年，全球将有超过1/5的家庭（精确数为21.3 %）使用智能家居设备。从这个角度来看，2020年的普及率将达到4.9 %。

您的隐私和网络安全的成本是多少

尽管智能家居设备的普及是有充分原因的（包括：安全性、舒适性、便利性、健康性及娱乐性等），但有足够多的报告表明，这些好处是以牺牲隐私和网络安全为代价的。

研究表明，大多数人对智能设备提供商并不信任。根据ADT的一项调查，93 %的智能家居设备消费者担心公司如何共享其数据。人类的警惕因素当然不会错位，智能家居设备会收集非常多的个人信息，因此安全性至关重要。

数据安全问题

用户对连接设备的恐惧是双重的。一方面，有些供应商因未经授权的数据收集、使用和共享而造成泄露；另一方面，一些攻击者会毫不犹豫地入侵设备并出于恶意目的访问用户数据。

未经授权的数据收集和使用（供应商）。

“新技术会引发新问题，”Surya Mattu在获得2018年新闻技术奖时说道。这是Mattu与他的联合记者Kashmir Hill一起获得的奖项，他们一起研究了智能家居设备收集和共享有关其用户的数据量。在实验进行期间，通过建造专用路由器监视安装在Hill公寓中的智能家居设备，Mattu能够收集有关她和丈夫的个人数据，有时甚至是非常敏感的数据。

ESET的一项研究显示，即使在保证用户数据保护的隐私政策中，使用“但不限于”一词也扩大了数据收集的潜力。同意这些条款可能会无意中使供应商不受限制地访问和使用除政策中明确规定的其他形式的数据。

未经授权的数据访问和入侵（攻击者）。

2019年，出现了几则有关Nest Cam IQ室内摄像机漏洞的报告，这些漏洞可能使黑客能够劫持设备并中断网络。发现的漏洞包括拒绝服务（DOS）、代码执行和信息泄露。与智能手机和笔记本电脑等其他设备相比，智能家居设备是“臭名昭著”的安全责任者。

卡巴斯基的一个团队发现了一个安全漏洞，该漏洞使黑客能够在测试研究中访问Fibaro Home Center集线器上存储的备份数据。备份数据包含所有者的个人信息，包括位置和联系方式。除此之外，该团队还利用远程代码执行漏洞来访问智能集线器，和它所控制的所有设备以及家庭网络。通过这种攻击，几乎没有限制，从恶作剧到抢劫房屋，一切皆有可能。

智能家居设备可能面临的攻击示例。

中间人（MitM）攻击使黑客能够拦截2个设备之间的通信，以窃取个人信息，假冒一方或破坏数据等。

拒绝服务（DoS）攻击会中断设备或网络，从而使合法用户无法使用它。从几年前发生的Mirai僵尸网络攻击可以看出，永久的DoS攻击可能会对设备造成无法弥补的损害。

法规与政策

显然，当前在规范智能家居设备的数据保护方面没有达到期望。现有的一些最低限度法律包含含糊不清的规定，使数据保护问题复杂化（GDPR和CCPA是解决智能家居设备的2个主要法律）。

GDPR

欧盟通用数据保护条例控制着企业收集以及个人数据的使用和共享。数据包括智能家居设备供应商。GDPR不会阻止数据的使用和收集。但重要的是，它迫使公司在处理用户数据方面变得透明，并赋予消费者更多控制其数据的能力。

注册会计师

年初引入的《消费者隐私法》理应引起人们的欢迎。该法案包括专门针对物联网安全的部分。被认为是IoT安全法的要求，连接设备的制造商必须“为设备配备合理的安全功能”。

但是，案文含糊不清使事情复杂化，因此，该法律被认为不足以保证物联网安全。现实情况是，全球没有足够的法规来确保智能家居设备的安全。也许，该技术的发展速度超过了法律所能跟上的速度，这意味着智能家居设备的用户负有保护数据安全的巨大责任。

智能家居安全

权限

智能设备默认情况下设置了一些权限，因此，购买智能设备后首先要采取的措施之一就是检查所有权限并拒绝不需要的权限。权限设置使您可以确定数据的使用方式，以及共享和集成其他设备和应用程序的控件，拒绝干扰或不满意的权限。请注意，最好将任何可编辑路由器设置的权限视为潜在威胁。

安全訪问

请遵守基本的安全规定，以防止设备受到未经授权的入侵。对于密码，要将默认密码更改为容易记住的强密码，并定期更改这些密码以保护对设备的访问。

另一个重要措施是启用多因素身份验证，这提供了附加的身份验证层，即使入侵者知道您的密码和用户名，也很难入侵访问帐户。

网络隔离

根据设备的行为来隔离网络，可帮助您保护个人和最敏感的数据。将所有物联网设备分成设备与智能手机，设备与笔记本电脑等保持在单独的网络上。做到这一点的基本方法是使用不同的路由器，许多WiFi路由器允许创建虚拟网络，这些虚拟网络可以作为单独的网络运行，在同一网络上运行，您只需要知道如何设置他们。

最后，那些将便利视为安全之敌的人并不完全是错误的，将更严格的安全措施应用于智能家居设备会减轻许担忧，没有人会因为扬声器或照明系统已连接到互联网而放弃隐私。

然而，不放弃隐私仍然是目标，毕竟ADT报告还指出，不到40 %的受访者根本没有采取任何隐私数据保护措施。