深度:智能家居產品為何缺乏安全防御?
發布時間:2018-04-18
人(ren)(ren)工(gong)智(zhi)能(neng)技術的發展,智(zhi)能(neng)家(jia)居應用(yong)已經越(yue)來越(yue)多的出現在人(ren)(ren)們的家(jia)中。20�����18年,智(zhi)能(neng)家(jia)居市場(chang)(chang������)逐(zhu)步爆發,房地產(chan)開發商、房屋裝修公司們也借著(zhu)智(zhi)能(neng)家(jia)居市場(chang)(chang)的最新契機,迎來了(le)眾多用(yong)戶(hu)。
智(zhi)能家(jia)居設備給人們(men)帶(dai)(dai)來(lai)方便的(de)(de)同時,也(ye)給大家(jia)的(de)(de)生活帶(dai)(dai)來(lai)了更�������多亮點。但在(zai)智(zhi)能家(jia)居應用(yong)中,卻暗藏著很多信息安全風(feng)險。
.jpg)
(一)從信息安全(quan)的(de)(de)風(feng)險(xian)考慮(lv),現(xian)在的(de)(de)安全(quan��������)風(feng)險(xian)要遠遠高于過去(qu)
智能(neng)(neng)家(jia)(jia)(jia)居(ju)(ju)是(shi)高度(du)數(shu)據化(hua)、信息(xi)化(hua)的(de)時代產物,它的(de)產品(pin)設計(ji)不�������能(neng)(neng)僅僅是(shi)停留在幾年前設計(ji)手機(ji)和電腦的(de)思維(wei)上(shang),未來智能(neng)(neng)家(jia)(jia)(jia)居(ju)(ju)產品(pin)要互聯互通才������可(ke)以為人們帶來更(geng)(geng)多便利。因此(ci),智能(neng)(neng)家(jia)(jia)(jia)居(ju)(ju)的(de)設計(ji)需要有更(geng)(geng)高的(de)安(an)全意識與思維(wei),否(fou)則(ze),一旦智能(neng)(neng)家(jia)(jia)(jia)居(ju)(ju)網絡被(bei)入侵(qin),那將可(ke)能(neng)(neng)是(shi)災難性的(de)風險。
在(zai)之前的(de)互聯網時(shi)代,人(ren)們(�������men)在(zai)家里也(ye)會面(mian)對信息(xi)安全(quan)的(de)問題,但人(ren)們(men)也(ye)很清楚(�����chu),風險(xian)造成的(de)最(zui)壞可(ke)能不(bu)過是家中(zhong)電(dian)腦中(zhong)的(de)資(zi)(zi)料(liao)和(he)信息(xi)被(bei)黑客偷(tou)走。所(suo)以(yi),在(zai)那(nei)個時(shi)代,人(ren)們(men)只要做好(hao)備(bei)份,不(bu)在(zai)鏈接(jie)網絡的(de)電(dian)腦設(she)備(bei)上(shang)存儲(chu)敏感信息(xi)或資(zi)(zi)料(liao)就可(ke)以(yi)保(bao)障基本(ben)的(de)安全(quan)。
而現在,人工智能技術(shu)快速發展,人們隨身攜帶并使用著各(ge)種智能化設備,在家(jia)中還安(an)裝了(le)很多(duo)的智能家(jia)居設備,這些設備通過物聯(lian)網�����技術(shu)都(dou)鏈(lian)(lian)接起(qi)來(lai)(lai),一旦出現安(an)全風(feng)險(xian)就(jiu)絕不僅是之前電腦(nao)聯(lian)網那么簡單(dan)。人們家(jia)中的生活(huo)、學習很多(duo)都(dou)與網絡鏈(lian)(lian)接起(qi)來(lai)(lai),甚至放到了(le)網上,如果不做(zuo)好安(an)全保護,風(feng)險(xian)將遠(yuan)(yuan)遠(yuan)(yuan)超出過去。
(二)面對安全風險,是什么讓智能家居廠家還不能重視
首先,從(cong)目前的(de)(de)整個智(zhi)能(neng)(neng)家(jia)(jia)居(ju)(�������ju)(ju)產品(pin)的(de)(de)大環境來講(jiang),面對(dui)數(shu)據與流(liu)量(liang)為王的(de)(de)信(xin)息(xi)時代,對(dui)于(yu)新興的(de)(de)智(zhi)能(neng)(neng)家(jia)(jia)居(ju)(ju)(ju)產業,投(tou)資者們(men)首先需(xu)要的(de)(de)是更多的(de)(de)流(liu)量(liang)和數(shu)據來充(chong)實(shi)產品(pin)銷(xiao)售的(de)(de)報表。所以,智(zhi)能(neng)(neng)家(jia)(jia)居(ju)(ju)(ju)產品(pin)被更多地冠以了便捷、智(zhi)能(neng)(neng)化的(de)(de)功能(neng)(neng)和體驗,更多的(de)(de)是先向(xiang)用戶實(shi)現銷(xiao)售的(de)(de)宣傳,而安全作為事后發生的(de)(de)一種概率(lv)事件,就被智(zhi)能(neng)(neng)家(jia)(jia)居(ju)(ju)(ju)廠(chang)家(jia)(jia)投(tou)資者、管理者們(men)這(zhe)樣的(de)(de)思維(wei)忽略了。
其次,信(xin)息(xi)安全(quan)(quan)(quan)本身也(ye)確(que)實是一(yi)門(men)很專業的(de)(de)技術(shu)。大多數廠商(shang)們的(de)(de)技術(shu)集中(zhong)家(jia)(jia)居(ju)設(she)備的(de)(de)生(sheng)產、制造與(yu)應用開發,但對(dui)信(xin)息(xi)安全(quan)(quan)(quan)技術(shu)與(yu)知識的(de)(de)了解很匱乏。一(yi)方(fang)面(mian),很少有(you)安全(quan)(quan)(quan)意識去考(kao)慮如何(he)防御(yu)信(xin)息(xi)風險,另(ling)一(yi)方(fang)面(mian),自身也(ye)想到(dao)了產品的(de)(de)風險防御(yu),但卻不知道如何(he)下手,如果去尋(x�����un)找第三方(fang)合作,那(nei)就要(yao)投(tou)入一(yi)定(ding)的(de)(de)成(cheng)本,而這樣也(ye)就無形中(zhong)加大了智能(neng)家(jia)(jia)居(ju)產品的(de)(de)成(cheng)本投(tou)入,面(mian)對(dui)智能(neng)家(jia)(jia)居(ju)產品的(de)(de)市(shi)場(chang)競爭與(yu)客戶需(xu)求(qiu),廠家(jia)(jia)們也(ye)就抱(bao)著不會出現安全(quan)(quan)(quan)風險的(de)(de)僥幸心態去做智能(neng)產品了。
當然,也一(yi)(yi)定有(you)熟(shu)悉安全的(de)廠商,他(ta�����)們(men)常用(yong)的(de)方(fang)式(shi)是(shi)采用(yong)自己獨立的(de)協(xie)議,自成一(yi)(yi)套體系(xi),雖然保證了自己產(chan)(chan)品(pin)的(de)安全,但(dan)這(zhe)樣的(de)方(fang)式(shi)對(dui)于今后智(zhi)能(neng)家(jia)居(ju)設(she)備的(de)擴展與互(hu)(hu)聯互(hu)(hu)通(tong)就會造成麻煩。由于不同協(xie)議產(chan)(chan)品(pin)之間(jian)不能(neng)互(hu)(hu)聯互(hu)(hu)通(tong),所以就出現(xian)了一(yi)(yi)些將協(xie)議統一(yi)(yi)的(de)平(ping)������臺(tai)(tai),比如京東微(wei)聯這(zhe)樣的(de)平(ping)臺(tai)(tai)。但(dan)即使這(zhe)樣,對(dui)用(yong)戶來講想要(yao)隨意選(xuan)擇產(chan)(chan)品(pin)也很(hen)困難(nan),因為并不是(shi)所有(you)的(de)智(zhi)能(neng)產(chan)(chan)品(pin)都與京東微(wei)聯實現(xian)互(hu)(hu)通(tong),還有(you)很(hen)多智(zhi)能(neng)家(jia)居(ju)產(chan)(chan)品(pin)在蘇寧的(de)平(ping)臺(tai)(tai)、小米(mi)的(de)平(ping)臺(tai)(tai)上銷(xiao)售(shou),他(ta)們(men)每(mei)加入一(yi)(yi)個(ge)智(zhi)能(neng)家(jia)居(ju)聯盟就要(yao)適合每(mei)一(yi)(yi)個(ge)平(ping)臺(tai)(tai)的(de)協(xie)議,從(cong)某個(ge)角度來講,這(zhe)樣的(de)亂局實際上又對(dui)智(zhi)能(neng)家(jia)居(ju)產(chan)(chan)品(pin)進行(xing)了分類控(kong)制(zhi)。
對于(yu)一個(ge)家(jia)(jia)(jia)庭來(lai)(lai)講,要(yao)么只能選一家(jia)(jia)(jia)品牌的(de)產(chan)品來(lai)(lai)整(zheng)合自己家(jia)(jia)(jia)中(zhong)的(de)家(jia)(jia)(jia)居(ju)智(zhi)能,要(yao)么就(jiu)只能選擇(ze)某些(xie)適合的(de)單(dan)個(g������e)智(zhi)能家(jia)(jia)(jia)居(ju)產(chan)品來(lai)(lai)使用(yong),但這樣的(de)話,今后(hou)智(zhi)能家(jia)(jia)(jia)居(ju)產(chan)品的(de)互聯互通就(jiu)很難做到了。
(三)智能家居���產品中(zhong)存在哪些安(an)全(quan)風(feng)險和關鍵問題(ti)
在智能家居應用中,家庭是一個(ge)可信任(ren)的隱(yin)私區域,而互聯(lia�����n)網(wang)則是一個(ge)不可信任(ren)的開放區域,當(dang)數據(ju)從互聯(lian)網(wang)的開放區域進入家庭隱(yin)私區域時,如果沒(mei)有好的安(an)全防御策略與手段,風險(xian)便會隨(sui)之入侵。
目前(qian)智能家居中存在的安全風(feng)險主要有以(yi)下4類:
①數(shu)據(ju)傳輸(shu)未加密(mi)或簡單加密(mi),導(dao)致用戶(hu)信息泄(xie)漏。(比如:傳輸(shu)����到云(yun)端的數(�����shu)據(ju)被截取、復制)
②客戶端APP未����安(an)全檢測(ce),相關代碼(ma)存在漏(lou)洞缺(que)陷。(比如:通過漏(lou)洞取走用戶的賬(zhang)戶、密碼(ma)等)
③硬件設(she)備(bei)存在調(diao)試(shi)接口,使用有(you)安全(quan)漏洞的操作(zuo)系統或第三方庫。(比(bi)如:入侵設(she)備(be�������i),劫持設(she)備(bei)應(ying)用)
④遠程控制命令缺乏(fa)����加(jia)固授權,存(cun)在非法入(ru)侵(qin)、劫持應用的風險。(比如,攝(she)像頭被非法入(ru)侵(qin)使用)
為(wei)了方(fang)便人們對智(zhi)能家(jia)(jia)居(ju)(ju)的(de)(de)使用,讓(rang)人們隨時(shi)監控操作家(jia)(jia)中得(de)智(zhi)能化產品(pin),大(da)多智(zhi)能家(jia)(jia)居(ju)(ju)產品(pin)都(dou)是通過云端(duan)遠程發送控制命令來(lai)實(shi)現人們對智(zhi)能家(jia)(jia)居(ju)(ju)產品(pin)的(de)(de)控����制。而(er)恰(qia)恰(qia)是這種(zhong)方(fang)便的(de)(de)手段,由于缺乏安(an)全(quan)防(fang)御手段,可能就(jiu)會給智(zhi������)能家(jia)(jia)居(ju)(ju)的(de)(de)帶來(lai)了巨大(da)的(de)(de)風(feng)險(xian)。
就像在去年(nian)(2017年(nian))鬧得(de)沸(fei)沸(fei)揚揚得(de)攝像頭泄(xie)露隱(yin)私、掃(sao)地機(ji)被(bei)入(ru)侵控(kong)制后泄(xie)露家庭隱(yin)私等事件(jian),就是(shi)黑客非法入(ru)侵劫(jie)持了這(zhe)些控(kong)制智(zhi)(zhi)能(neng)(neng)家居(ju)產(chan)品的(de)(de)(de)(de)遠程命令(ling)(ling),對(dui)智(zhi)(zhi)能(neng)(neng)家居(ju)的(de)(de)(de)(de)應用(yong)實������現了劫(jie)持。也是(shi)智(zhi)(zhi)能(neng)(neng)家居(ju)目前存在安全風(feng)險(xian)的(de)(de)(de)(de)第4點,它將給智(zhi)(zhi)能(neng)(neng)家居(ju)產(chan)品的(d��������e)(de)(de)(de)使用(yong)者帶來最大的(de)(de)(de)(de)安全風(feng)險(xian)。所以(yi),對(dui)于涉(she)及外網與家庭內網控(kong)制指令(ling)(ling)交互的(de)(de)(de)(de)智(zhi)(zhi)能(neng)(neng)家居(ju)產(chan)品來講,保(bao)護好這(zhe)些遠程控(kong)制的(de)(de)(de)(de)命令(ling)(ling)尤為重要(yao)。
(四)智能家居風險關鍵問題中遠程控制命令的防御
智能(neng)(neng)家(jia)居應用中(zhong),用戶(hu)往往通(tong)過手機APP來發(fa)(fa)送(song)控(kong)制(zhi)請求給(gei)云端,由智能(neng)(neng)家(jia)居產品(pin)(pin)云端確認用戶(hu)請求后,發(fa)(fa)送(song)相關遠程控(kong)制(zhi)命(ming)令(ling)給(gei)智能(neng)(neng)產品(pin)(pin),從而實現對智能(neng)������(neng)家(jia)居產品(pin)(pin)的控(kong)制(zhi)。這些被發(fa)(fa)送(song)的遠程控(kong)制(zhi)������命(ming)令(ling)實際上(shang)就是我(wo)們(men)在應用程序(xu)中(zhong)常說的指令(ling)。
指令是(shi)程序的(de)(de)基本單元,指令系統則(ze)是(shi)應(ying)用(yong)程序中的(de)(de)最小的(de)(de)功能實(shi)現(xian)單元。智能家(jia)居(ju)中的(������de)(de)遠(yuan)(yuan)程控(kong)制命令作(zuo)為智能家(jia)居(ju)業務(wu)應(ying)用(yong)的(de)(de)核心,在技術上,可實(shi)現(xian)對遠(yuan)(yuan)程控(kong)制命令的(de)(de)認證加固與管理,這樣面對有非法者(zhe)試(shi)圖通過(guo)劫(jie)持指令來(lai)控(kong)制應(ying)用(yong),就可以就行徹底防御,保(bao)障智能家(jia)居(ju)使(shi)用(yong)者(zhe)的(de)(de)信息安全。
對遠程控制指(zhi)令實(shi)施(shi)加固是基于智(zhi)能(neng)(neng)家居(ju)(ju)應(ying)用的(de)(de)防御(yu),只(zhi)有(you)智(zhi)能(neng)(neng)家居(ju)(ju)系統(tong)實(shi)施(shi)該(gai)應(ying)用、并(bing)遭(zao)遇攻擊時,才(cai)會啟動(dong)該(gai)應(ying)���用防御(yu),所以指(zhi)令加固的(de)(de)實(shi)現是一種主動(dong)防御(yu),與(yu)傳統(tong)的(de)(de)那(nei)些為(wei)了(le)實(shi)現安(an)全(quan)防護(hu)而投(tou)入的(de)(de)眾多安(an)全(quan)系統(tong)與(yu)安(an)全(quan)設備的(de)(de)被動(dong)防御(yu)不同,主動(dong)防御(yu)不會影響智(zhi)能(neng)(neng)家居(ju)(ju)系統(tong)的(de)(de)運行效率(lv),還(huan)保障了(le)應(ying)用的(de)(de)安(an)全(quan)。
(五(wu))如何實現智能家居產品安全防(fang)御(yu)的落實與實施
提(ti)高(gao)智能(neng)家(jia)(jia)居(ju)產(chan)(chan)品(pin)������的(de)安(an)全性尤為(wei)重(zhong)要(yao),但(dan)也確(que)實需要(yao)有一個過程。一方面需要(yao)提(ti)高(gao)智能(neng)家(jia)(jia)居(ju)產(chan)(chan)品(pin)企業管(guan)理者(zhe)(zhe)與設(she)計者(zhe)(zhe)的(de)安(an)全意識,尤其是企業管(guan)理者(zhe)(zhe)的(de)安(an)全意識,讓智能(neng)產(chan)(chan)品(pin)在開發的(de)過程中,不僅(jin)僅(jin)關注產(chan)(chan)品(pin)功能(neng)和用戶體(ti)驗,而(er)更應該加(jia)入(ru)安(an)全防御��������手(shou)段,為(wei)用戶的(de)安(an)全風險考慮。
另外,從用戶本身來講,智能家居(ju)產品使用的(de)(de)安全(quan)意識也(ye)有(y�����ou)(you)待���(dai)提(ti)高,很多(duo)用戶只關(guan)注(zhu)產品的(de)(de)功能和使用的(de)(de)便利性,但(dan)不愿意為企業提(ti)高產品安全(quan)性而增(zeng)加(jia)的(de)(de)費(fei)用買(mai)單。這樣(yang)惡性循環(huan),導(dao)致廠家與消費(fei)者在(zai)產品的(de)(de)安全(quan)防御上都沒有(you)(you)動力,一(yi)旦(dan)出現安全(quan)風險事故,就悔之晚(wan)矣。
當然,最重要的(de)(de)還是我國相關的(de)(de)信(xin)息安全法(fa)律法(fa)規及智(zhi)能(neng)(neng)(neng)(neng)家(jia)居(ju)行業管理(li)機(ji)(ji)構對(dui)智(zhi)能(neng)(neng)(neng)(neng)家(jia)居(ju)產品安全的(de)(de)保駕護(hu)航(hang)力度(du),我國去年頒布的(de)(de)《網絡(luo)安全法(fa)》充分體現了政府和(he)人民(min)群眾(zhong)對(dui)網絡(luo)安全的(de)(de)要求(qiu)。智(zhi)能(neng)(neng)(neng)(neng)家(jia)居(ju)行業管理(li)機(ji)(ji)構也應該加(jia)強對(dui)智(zhi)能(neng)(neng)(neng)(neng)家(jia)居(ju)企業的(de)(de)溝通(tong)與監管,為智(zhi)能(neng)(��������neng)(neng)(neng)家(jia)居(ju)使(shi)用者的(de)(de)信(xin)息安全保障護(hu)航(hang)。
本文來源:引石安評INSComment
本文作者:引石科(ke)技老(lao)王
