从智能家居浅谈网络安全问题及其对策

安创文 刘祥 余旖

深圳市计量质量检测研究院 广东 深圳 518055

引言

近年来，家居产品普及率及渗透率逐年增加，且安全问题与公民的人体健康和人身、财产安全息息相关，通过智能家居调研数据能够很大程度上反映出我国网络安全现状及风险隐患。

1 智能家居概述

1.1 智能家居的定义

智能家居可以定义为一个目标或者一个系统。利用先进的计算机、网络通信、自动控制等技术，将与家庭生活有关的各种应用子系统有机地结合在一起，通过综合管理，让家庭生活更舒适、安全、有效和节能。智能家居不仅具有传统的居住功能，还能提供舒适安全、高效节能、具有高度人性化的生活空间；将一批原来被动静止的家居设备转变为具有“智慧”的工具，提供全方位的信息交换功能，帮助家庭与外部保持信息交流畅通，优化人们的生活方式，帮助人们有效地安排时间，增强家庭生活的安全性，并为家庭节省能源费用等。

智能家居可实现的主要功能与服务如表1。

表1 智能家居可实现的功能与服务

1.2 智能家居的发展

智能家居作为一个新生产业，处于一个导入期与成长期的临界点，市场消费观念还未形成，但随着智能家居市场推广普及的进一步落实，培养起消费者的使用习惯，智能家居市场的消费潜力必然是巨大的。正因为如此，国内优秀的智能家居生产企业愈来愈重视对行业市场的研究，特别是对企业发展环境和客户需求趋势变化的深入研究。

家电厂商转型升级不单是拥抱互联网，首先要做的是以全新的物联网、通信、云计算等技术迎接机遇和挑战，在智能方面，家电厂商面临三大关键问题。

1.2.1 技术攻克。一台智能家电的“智能”方面，应有功能和功能触发方式两部分，前者包括监测、感知、学习、分析、判断等能力，后者则是指人机交互的形式或方法，如本地控制、移动端（手机、平板、手环、戒指等）控制、语音控制、手势控制、全息管理等。家电厂商大多有一定的自动化技术积累，但传感技术和控制技术或成短板，需增大投入与不断积攒。

1.2.2 标准缺乏。在“互联网+”的背景下，家电厂商要智能升级，首先需要解决连接的问题，包括联网和连物，所以它们应该掌握“+互联网”，并且拥有“物联网思维”，结合二者的方法论构建设备之间的联系。目前，家电厂商的主要策略是在家电中植入通信模块（如Wi-Fi），实现多款家电同一应用软件控制，但物物相联的标准仍悬而未决，没有统一的标准供厂商参考与规范。

1.2.3 安全保障。家居产品除传统安全标准需遵循外，又多了一项网络信息安全问题，网络信息安全隐患是物联网行业的难题，家电厂商需要谨慎对待。智能硬件安全问题频繁曝出，无人机、网络摄像头、汽车、洗衣机、烤箱等多款智能硬件无一幸免，全部沦为黑客的攻击对象，迅速惨遭破解。智能家居的网络信息安全包括身份认证、权限管理、通信加密、身份识别等，若发生用户信息丢失，不仅会造成用户隐私泄露，同时还会导致信息安全印发的电器安全问题，对人身财产安全和个人隐私问题都将带来严重危害。

2 智能家居网络安全现状

智能家居产品种类众多，2018年国家对智能家居产品的应用软件进行风险监督抽查，包括电视、音箱、空调和冰箱。应用软件的各类安全问题（如身份鉴别、通信安全、数据安全、访问控制、运行安全等）普遍存在，智能家居产品被恶意控制或用户隐私泄露风险随时可能发生。与传统电器安全相比，智能家居产品的应用软件安全隐患更为严重。

2.1 智能家居网络安全风险监测方法

本文对智能电视、智能空调和智能音箱三类常见产品的应用软件风险监测进行分析。抽样原则为尽可能选择市场销量排名靠前的品牌，覆盖不同档次，采样渠道包含实体店与网络两种方式。风险监测方法主要依据标准GB/T 22239-2008、GB/T 34975-2017、GB/T 35273-2017[1-3]，风险监测项目和方法见表2。

表2 风险监测方法

2.2 智能家居网络风险监测结果

对智能电视、智能空调、智能音箱三类产品分别采样15批次、15批次、21批次进行监测，样品分类和采样数量如表3-5所示。

表3 2018年智能电视应用软件风险监督抽样表

表4 2018年智能空调应用软件风险监督抽样表

表5 2018年智能音箱应用软件风险监督抽样表

按照风险影响受众面及程度，将其分为高中低三等：后台存在导致大面积用户信息泄露或被远程控制的漏洞、影响层面涉及公众时定义为高风险[4]；身份鉴别、通信安全、数据安全和运行安全存在导致个人信息数据被泄露及恶意利用以致财产损失的漏洞、影响层面为个人时定义为中风险；存在用户非敏感信息泄露、影响层面为个人时定义为低风险。

对于采样的共计51批次智能家居产品，其应用软件均存在风险项，占总采样批次51的100%。风险项目及对应不符合产品占比数据如表6所示。

表6 风险监测结果

各类风险项都将对智能家居网络信息安全产生严重危害。身份鉴别防护不足可能导致账号被盗用，产生非预期的消费；通信安全（完整性、保密性）不符合有可能导致网络传输的重要数据被窃取，数据安全不符合将可能导致用户数据泄漏的风险；运行安全不符合有可能导致终端应用被插入恶意程序、植入病毒、盗取账号信息，造成敏感信息泄露，控制端被非法提权等。

此外，应用软件安装权限控制不严或将导致智能家电感染带有病毒和木马，进而造成用户信息泄露或设备被控制；对应用软件反编译和二次打包防护不足将导致恶意伪造安装包分布，用户无法分辨安装包真伪，安装伪造应用软件后用户账号密码泄露并被恶意操作；操作版本较低普遍存在，系统存在大量已知漏洞，易被攻击破解，从而使恶意分子能够远程控制设备，操作设备执行非法指令[5]。

2.3 结果分析

从2018年对智能家居应用软件的监测数据可以看到，各类智能家居的应用软件都存在不同程度的风险，各类风险项都将对智能家居网络信息安全都将产生严重危害。

2.3.1 身份鉴别。可能导致账号被盗用，产生非预期的消费。

2.3.2 通信安全（完整性、保密性）。有可能导致网络传输的重要数据被窃取。

2.3.3 应用软件安装权限。控制不严或将导致智能家电感染带有病毒和木马，进而造成用户信息泄露或设备被控制。

2.3.4 数据安全。将可能导致用户数据泄漏的风险。

2.3.5 运行安全。不符合有可能导致终端应用被插入恶意程序、植入病毒、盗取账号信息，造成敏感信息泄露，控制端被非法提权等。

此外，应用软件还存在其他方面的风险。如，应用软件反编译和二次打包防护不足将导致恶意伪造安装包分布，用户无法分辨安装包真伪，安装伪造应用软件后用户账号密码泄露并被恶意操作[6]；操作版本较低普遍存在，系统存在大量已知漏洞，易被攻击破解，从而使恶意分子能够远程控制设备，操作设备执行非法指令。

2.4 智能家居网络安全改善建议

在贯彻落实网络强国思想的同时，提升网络安全性能成为智能家居产品发展的必要部分。以下从标准、监管、企业、公民四个角度提出改善建议。

3.1 标准统一

目前，智能家居产品就网络信息安全部分的标准尚未统一，为提升智能家居产品网络信息安全，应当梳理已有行业标准、团体标准，结合当前技术发展现状和趋势，制定国家统一标准。

3.2 监管实施

继《网络安全法》实施以来，监管机构多采取风险监测方式进行工作开展，在建立智能家居统一标准的前提下，应当对智能家居产品从功能、易用性、可靠性、安全性等方面进行规范与监督[7]。

3.3 企业应对从被动转向主动

网络攻击事件层层升级，企业应当意识到，对网络攻击的应对绝不应当存有侥幸心理。随着《网络安全法》的出台，维护网络安全成为企业的责任[8]。被动防御是不够的，企业应当建立安全保障机制，以随时应对各种攻击事件。企业应当主动联系第三方安全检测机构，定期对其信息系统和应用软件进行漏洞检测，并及时修补。

3.4 安全意识普及

普及智能家居产品网络安全存在的问题，建议用户合理设置密码、正确使用退出机制、保护个人隐私信息、及时更新应用软件版本等，同时，对存在安全隐患的应用软件向监管部门提出投诉建议，共同监督智能家居网络安全的健康发展。

4 结束语

智能家居行业蓬勃发展，网络安全问题与人们生活息息相关。随着物联网时代的到来，传统工业产品在网络安全方面的标准尚处于碎片化、待统一的状态。为保障公民的人身财产安全和个人隐私安全，同时提升传统工业顺利转型与可持续发展，本文提出四项建议：统一网络安全标准、实行强制监管措施、企业主动与第三方机构合作检测、提升公民网络安全意识。