杜竹青 周莹 朱奕龙
摘要:随着新技术的兴起,云计算、大数据、人工智能等技术不再是某个行业的专宠。传统的家居行业乘着新兴技术的东风一跃而起,智能家居的概念应运而生。在5G技术以及物联网技术的加持下,智能家居类产品不断的提升优化、日趋成熟。人们对于智能家居的认可和信赖增强,市场的热度有增无减,智能门锁、智能音箱、智能摄像头等产品飞入寻常百姓家,“以智能改变家居”已经成为共识。本文主要以智能音箱为突破口,浅析智能家居类产品的信息安全风险。
关键词:智能家居、信息安全、风险抵御
一、智能家居产品概念
试想一下这样的场景:下班回家,输入指纹或面部自动开门并点亮客厅灯光;进门口,拍拍手掌,突然灯光变得柔和温暖;再按下手机,悠扬温馨的音乐响起,空调自动提到了最佳温度;来到餐厅,预约的电饭煲已经煮好米饭。拍拍手掌、按下手机这么方便的操作就能带来一系统轻松愉快的家庭体验,谁不想拥有这样便利的生活模式呢?尤其对于女性来说,智能家居很大程度上解放了女性的双手,让女性从繁杂的家务劳动中抽身,去更好地享受生活,这对家庭生活的幸福是大有助益的。那什么又是智能家居呢?
智能家居是物联网在家居行业的一个缩影。随着互联网的发展,人们不再局限于互联网上隐形物体的互联,将互联网引入实替社会,实现物物相连,也就有了物联网的概念。智能家居就是通过物联网技术将家居产品物物相连,如电视机、音箱、摄像头、智能门锁等。与普通家居相比,智能家居除了传统的居住功能外,还兼具网络通信、信息共享、设备自动化等功能。
二、智能家居产品的信息安全风险
目前大多数智能家居类产品的销售购买是一次性买卖,只卖产品,不卖服务。为减少成本,多数的经费都用在产品研发上面,而缺乏对信息安全风险把控的研发投入。但是,智能家居类产品的风险点主要集中在信息安全方面。本文以智能音箱为例,分析智能音箱的信息安全风险,以音箱为突破口浅析智能家居类产品入网的信息安全风险。
智能音箱面临的安全风险可分为终端安全风险、云平台安全风险、通信安全风险、移动应用安全风险四个方面,见图1。
1.终端安全风险:终端设备在处理网络查询、关键字响应、音乐播放、联动其他智能家居设备时,存在的安全风险。如:音箱被远程控制窃取音频、控制音箱监听等。亚马逊公司曾被爆出,用户家中的智能音箱Echo在未经用户授权的情况下,私自将家人间的聊天记录发送给联系人列表中的人。
2.云平台安全风险:云平台主要提供用户登录、云存储音频、设备终端管理和配置、用户与设备绑定等功能。平台在存储终端发来的文件时,容易被窃取,造成文件信息泄露。
3.通信安全风险:云平台、终端和移动应用之间时刻存在着数据的交互传输。在数据传输过程中,用户两两之间的音频、控制指令等信息易被拦截攻击,造成通信安全风险。
4.移动应用安全风险:用户操控移动个手机远程播放音樂天气时,留下的使用痕迹,如:关键代码、用户密码、手机存储文件等易被查看和窃取,造成移动应用安全风险。
三、智能家居产品的信息安全风险应对
新技术是把双刃剑,便利人民日常生活的同时也带来相应的风险。本文从终端安全风险、云平台安全风险、通信安全风险、移动应用安全风险四个方面浅析防御措施。
1.终端安全风险:一方面包括控制指令风险,用户通过手机APP向云端发送请求,云端确认用户请求并反馈远程控制命令给终端产品。针对远程指令被劫持的风险,可以对远程控制命令进行认证加固。指令加固是一种主动防御,只有被攻击时才会启动,因而不会影响系统的正常运行。另一方面主要为系统漏洞潜在的安全风险,一般硬件设备都存在调试接口,如若使用了有安全漏洞的操作系统或第三方库,则系统的病毒易通过漏洞入侵设备,实现对设备的劫持。漏洞风险的防御可通过漏扫工具对潜在的漏洞进行扫描分析,以保证硬件接口的安全性。
2.云平台安全风险:云平台的主要功能是控制与存储,类似人类的大脑,因此云平台的安全风险尤为重要。针对此风险,可通过身份认证方式来保证数据安全,避免隐私信息的泄露。主要的身份鉴别方式有:身份鉴别机制、用户标识唯一性、鉴别信息复杂度,登录失败处理功能。
3.通信安全风险:通信安全主要针对客户端和远端的数据传输安全,针对通信安全风险可以对数据的完整性、保密性进行加固。实际监测过程中可以通过抓包工具获取传输信息,查看是否有完整性校验码和明文传输,以此判断是否可以抵御重放攻击,是否可以抵御中间人攻击。
4.移动应用安全风险:针对应用安全涉及的风险较多,用户的使用习惯,应用是否签名加固,是否正轨渠道获取,移动设备是否越狱等都可能是造成风险的触发。常规可以监测的风险点包括保密性(登录包是否加密传输、是否以明文形式存储或传输敏感数据),安装卸载安全,完整性(反编译、抗二次打包),敏感信息保护等。
总结
智能家居产品信息安全的重要性毋庸置疑,但是实现起来并不是一蹴而就的,需要各方面发力、深耕。首先,企业应该加大研发力度,筑牢信息安全的第一层基石,避免只重视产品外观,而不重视产品安全的情况。在产品开发阶段,加入安全防御手段,把好源头观。其次,用户应该提高个人隐私保护意识,提升对产品安全的追求,把好流通观。最终,最重要的是市场和法律,我国颁布的《网络安全法》极大了震慑了网络上一些投机倒把的不法分子,为智能家居产业的网络安全保驾护航,充分体现了政府对网络安全的重视,回应了人民对美好网络生活向往的呼声。本文以音箱为例,浅析了智能家居产品潜在的信息安全风险,为后续深入的剖析信息安全风险打基础。
参考文献
[1]申永波,刘思蓉.智能家居产品安全评价指标及认证关键技术研究[J].信息技术与网络安全.2019,(3).1-3,8.doi:10.19358/j.issn.2096-5133.2019.03. 001.
[2]吴晓,周建平,梁楚华,许燕.物联网技术在智能家居中的应用研究[J].物联网技术,2012,2(11):71-73.
[3]胡向东,韩恺敏,许宏如.智能家居物联网的安全性设计与验证[J].重庆邮电大学学报:自然科学版,2014,26(2):171-176.