深度:智能家居產品為何缺乏安全防御?
發布時間:2018-04-18
人工智(zhi)能(neng)技術的(de)發(fa)(fa)展,智(zhi)能(neng)家(jia)(jia)居應(ying)用已(yi)經越(yue)來(lai)越(yue)多的(de)出現(xian��������)在人們(men)的(de)家(jia)(jia)中。2018年,智(zhi)能(neng)家(jia)(jia)居市場(chang)逐(zhu)步(bu)爆發(fa)(fa),房(fang)地產開(kai)發(fa)(fa)商(shang)、房(fang)屋裝修公(gong)司(si)們(men)也借(jie)著智(zhi)能(neng)家(jia)(jia)居市場(chang)的(de)最新契(qi)機,迎(ying)來(lai)了眾多用戶。
智能家居設(she)備給人(ren)們帶來(lai)方便的同時,也給大家的生(sheng)活帶來(lai)了更多(duo)亮點。但(dan)在(zai)智�����能家居應用中,卻暗(an)藏著很多(duo)信(x������in)息安全風險。
.jpg)
(一)從(c������ong)信息安全(quan)的(de)風險考慮,現在的(de)安全(quan)風險要�����遠遠高于過去
智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)是高度數(shu)據(ju)化、信息化的時代產(chan)物,它的產(chan)品設計(ji)不能(neng)(neng)(neng)僅(jin)僅(jin)是停(ting)留在幾(ji)年前設計(ji)手(shou)機和電腦的思(si)維上,未來(lai)智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)產(chan)品要互(hu)聯互(hu)通(tong)才可以(yi)為人們帶來(lai)更(ge������ng)多便利。因此,智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)的設計(ji)需要有更(geng)高的安(an)全(quan)意識與(yu)思(si)維,否則,一旦智(�������zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)網絡被(bei)入(ru)侵,那將可能(neng)(neng)(neng)是災(zai)難性的風險(xian)。
在之前的(de)(de)(de)互聯網(wang)時(shi)代,人們在家里也(ye)會面對信息(xi)安全的(de)(de)(de)問題,但人們也(ye)很(hen)清楚(chu),風險造成的(de)(de)(de)最壞可(ke)能不過是家中電腦(nao)中的(de)(de)(de)資料和信息(xi)被(bei)黑客偷走。所以,在那個時(shi)代,人們只要�����做(zuo)好備份,不在鏈接(jie)網(wang)絡的(de)(de)(de)電腦(nao)設備上存儲敏感信息(xi)或資料就可(ke)以保障基本的(de)(de)(de)安全。
而現(xian)在(zai),人工(gong)智(zhi)能(neng)技術(shu)快(kuai)速(su)發展,人們(men)隨身攜帶并(bing)使用著(zhu)各(ge)種(zhong)智(zhi)能(neng)化(hua)設(she)(she)備(bei),在(zai)家中還安裝了(le)很多的智(zhi)能(neng)家居設(she)(she)備(bei),這些設(she)(she)備(bei)通過(g�������uo)物聯網(wang)技術(shu)都(dou)鏈(lian)接起來(lai),一旦出現(xian)安全風險就(jiu)絕不僅(jin)是之(zhi)前電腦(nao)聯網(wang)那(nei)么(me)簡單。人們(men)家中的生(sheng)活、學習很多都(dou)與網(wang)絡鏈(lian)接起來(lai),甚至放(fang)到了(le)網(wang)上,如(ru)果不做(zuo)好安全保護,風險將遠(yuan)遠(yuan)超出過(guo)去。
(二)面對安全風險,是什么讓智能家居廠家還不能重視
首(shou)先,從目前(qian)的(de)整個(ge)�������智能(neng)家居產(chan)(chan)品的(de)大環境(jing)來講(jiang),面對數(shu)(shu)據與流量(liang)為王的(de)信(xin)息時代,對于新興的(de)智能(neng)家居產(chan)(chan)業,投資者(zhe)們首(shou)先需要的(de)是(shi)更(geng)多(duo)的(de)流量(liang)和數(shu)(shu)據來充實(shi)產(chan)(chan)品銷(xiao)售的(de)報表。所(suo)以(yi),智能(neng)家居產(chan)(chan)品被(bei)更(geng)多(duo)地(d�����i)冠以(yi)了(le)便捷、智能(neng)化的(de)功能(neng)和體驗,更(geng)多(duo)的(de)是(shi)先向用戶實(shi)現銷(xiao)售的(de)宣傳(chuan),而(er)安(an)全作(zuo)為事(shi)后發生的(de)一種概率事(shi)件,就被(bei)智能(neng)家居廠(chang)家投資者(zhe)、管理者(zhe)們這樣的(de)思維(wei)忽略(lve)了(le)。
其次(ci),信(xin)息安(an)全(quan)(quan)本身(shen)(shen)也確實是一(yi)(yi)(yi)門(men)很(hen)專業(ye)的(de)技(ji)術。大多數廠商(shang)們(men)的(de)技(ji)術集中(zhong)家(jia)居設(she)備的(de)生產、制造與(yu)應用開發,但對信(xin)息安(an)全(quan)(quan)技(ji)術與(yu)知識的(de)了解(jie)很(hen)匱乏。一(yi)(yi)(yi)方(fang)面,很(hen)少有安(�������an)全(quan)(quan)意識去考慮如何防(fang)御信(xin)息風險(xian),另(ling)一(yi)(yi)(yi)方(fang)面,自身(shen)(shen)也想(xiang)到(dao)了產品(pin)的(de)風險(xian)防(fang)御,但卻不知道如何下手,如果去尋找第三方(fang)合作(zuo),那就要投(tou)入一(yi)(yi)(yi)定的(de)成本,而(er)這樣(yang)也就無形中(zhong)加大了智(zhi)能(neng)家(jia)居產品(pin)的(de)成本投(tou)入,面對智(zhi)能(neng)家(jia)居產品(pin)的(de)市(shi)場競(jing)爭(zheng)與(yu)客(ke)戶(hu)需求,廠家(jia)們(men)也就抱著不會出現安(an)全(quan)(quan)風險(xian)的(de)僥幸心態去做智(zhi)能(neng)產品(pi�������n)了。
當然,也(ye)一(yi)(yi)(yi)定有熟(shu)悉安(an)全的(de)(de)廠商(shang),他們常(chang)用的(de)(de)方(fang)式(shi)是采(cai)用自己獨(du)立的(de)(de)協議(yi),自成一(yi)(yi)(yi)套體系(xi),雖然保證了(le)(le)自己產(chan)品(pin)的(de)(de)安(an)全,但(dan)這(zhe)樣(yang)的(de)(de)方(fang)式(shi)對于今后智(zhi)能(neng)家(jia)(jia)居(ju)(ju)設備的(de)(de)擴展與互(hu)(hu)聯互(hu)(hu)通(tong)就(jiu)會(hui)造成麻煩。由(you)于不(bu)同協議(yi)產�������(chan)品(pin)之間不(bu)能(neng)互(hu)(hu)聯互(hu)(hu)通(tong),所以就(jiu)出現了(le)(le)一(yi)(yi)(yi)些將協議(yi)統一(yi)(yi)(yi)的(de)(de)平臺,比如京(jing)東(dong)(dong)微聯這(zhe)樣(yang)的(de)(de)平臺。但(dan)即使這(zhe)樣(yang),對用戶來(lai)講(jiang)(jiang)想(xiang)要隨意(yi)選(xuan)擇產(chan)品(pin)也(ye)很困難,因為并不(bu)是所有的(de)(de)智(zhi)能(neng)產(chan)品(pin)都與京(jing)東(dong)(dong)微聯實現互(hu)(hu)通(tong),還有很多智(zhi)能(neng)家(ji������a)(jia)居(ju)(ju)產(chan)品(pin)在蘇(su)寧的(de)(de)平臺、小米的(de)(de)平臺上銷售,他們每加(jia)入(ru)一(yi)(yi)(yi)個(ge)(ge)智(zhi)能(neng)家(jia)(jia)居(ju)(ju)聯盟就(jiu)要適合(he)每一(yi)(yi)(yi)個(ge)(ge)平臺的(de)(de)協議(yi),從某個(ge)(ge)角度來(lai)講(jiang)(jiang),這(zhe)樣(yang)的(de)(de)亂(luan)局(ju)實際上又對智(zhi)能(neng)家(jia)(jia)居(ju)(ju)產(chan)品(pin)進行了(le)(le)分類控(kong)制(zhi)。
對于一個家庭來講,要(yao)么(me)只(zhi)能選(xuan)一家品(pin)牌(pai)的(de)(de)產品(pin)來整合自己(ji)家中的(de)(de)家居智(zhi)能,要(yao)么(me)就(jiu)只(zhi)能選(xuan)擇(ze)某些適合的(de)(de)單個智(zhi)能家居產品(pin)來使�����用,但這(zhe)樣的(de)(de)話,今(jin)后智(zhi)能家居產品(pin)的(de)(de)互聯(lian)互通就(jiu)很難做到了(le)。
(三)智(zhi)能(neng)家(jia)居(ju������)產品中(zh�������ong)存在哪些安全風險(xian)和關鍵(jian)問題
在(zai)智(zhi)能(neng)家居應用中,家庭(ting)是一個可信任的(de)(de)(d�������e)隱私區域(yu�������),而互聯網則是一個不可信任的(de)(de)(de)開(kai)放(fang)區域(yu),當數據從互聯網的(de)(de)(de)開(kai)放(fang)區域(yu)進(jin)入家庭(ting)隱私區域(yu)時,如(ru)果沒有好(hao)的(de)(de)(de)安(an)全防(fang)御策略(lve)與手段,風險便(bian)會隨(sui)之入侵。
目前智能家居中(zhong)存(cun)在的安全風險主要有以下(xia)4類:
①數據(ju)傳輸未(wei)加密或簡單加密,導致(zhi)用戶信(xin)息(xi)泄漏。(比如:傳輸到云(yun)端(duan)的數據(ju)被(b������ei)截取、復制)
②客戶端APP未安全檢(jian)測,相關代碼存在���漏洞(dong)缺(que)陷(xian)。(比(bi)如:通過(guo)漏洞(dong����)取走用戶的賬戶、密碼等)
③硬件設(she)備(bei)�����存在調試接(jie)口(kou),使用有安全漏洞的操作系統或(huo)第三方(fang)庫。(比如:入侵設(she)備(bei),劫持設(she)備(bei)應用)
④遠程控制命令(ling)缺乏(fa)加固授(shou)權,存在非法(fa)入侵、�����劫持應用的(de)風險(xian)。(比如,攝像頭被非法(fa)入侵使用)
為了(le)方(fang)便(bian)人(ren)們(men)對������(dui)智能(neng)(neng)(neng)家居的(de)使(shi)用,讓人(ren)們(men)隨時監控操作(zuo)家中(zhong)得智能(neng)(neng)(neng)化產(chan)品,大多智能(neng)(neng)(neng)家居產(chan)品都是通過(guo)云端遠程發送控制命令來實現人(ren)們(men)對(dui)智能(neng)(neng)(neng)家居產(chan)品的(de)控制。而(er)恰恰是這種方(fan�����g)便(bian)的(de)手段,由于缺乏安(an)全防(fang)御手段,可能(neng)(neng)(neng)就會給智能(neng)(neng)(neng)家居的(de)帶來了(le)巨(ju)大的(de)風(feng)險(xian)。
就(jiu)像(xiang)在去年(2017年)鬧得(de)沸沸揚揚得(de)攝像(xiang)頭泄露隱(yin)私(si)、掃(sao)地(di)機(ji)被入侵(qin)(qin)控制后泄露家(jia)庭隱(yin)私(si)等(deng)事(shi)件,就(jiu)是(shi)黑客非法入侵(qin)(qin)劫持了這(zhe)些(xie)控制智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)(ju)產品的(de)(de)(de)(de)遠程命(ming)令(ling),對(dui)智(zhi)能(neng)(neng)(n������eng)家(jia)居(ju)(ju)(ju)的(de)(de)(de)(de)應用(yong)實現了劫持。也是(shi)智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)(ju)目前存在安(an)全(quan)風(feng)險的(de)(de)(de)(de)第(di)4點,它將給(gei)智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)(ju)產品的(de)(de)(de)(de)使用(yong)者(zhe)帶來(lai)最大的(de)(de)(de)(de)安(an)全(quan)風(feng)險。所以(yi),對(dui)于(yu)涉及外網與(yu)家(jia)庭內(nei)網控制指(zhi)令(ling)交(jiao)互的(de)(de)(de)(de)智(zhi)能(neng)(neng)(neng)家(jia)居(ju)(ju)(ju)產品來(lai)講(jiang),保護好(hao)這(zhe)些(xie)遠程控制的(de)(de)(de)(de)命(ming)令(ling)尤(you)為重(zhong)要(yao)。
(四)智能家居風險關鍵問題中遠程控制命令的防御
智(zhi)能(neng)家(jia)居(ju)應(ying)用中(zhong),用戶(hu)往(wang)(wang)往(wang)(wang)通過手(shou)機APP來(lai)發(fa)送(song)控(kong)(kong)制請求����給云(yun)(yun)端,由(you)智(zhi)能(neng)家(jia)居(ju)產品(pin)(pin)云(yun)(yun)端確認(ren)用戶(hu)請求后,發(fa)送(song)相關(guan)遠程控(kong)(kong)制命令給智(zhi)能(neng)產品(pin)(pin),從而實現對(dui)智(zhi)能(ne�����ng)家(jia)居(ju)產品(pin)(pin)的(de)控(kong)(kong)制。這些(xie)被(bei)發(fa)送(song)的(de)遠程控(kong)(kong)制命令實際上就是我們在應(ying)用程序中(zhong)常說(shuo)的(de)指令。
指令是(shi)程(cheng)序的基本單(dan)元,指令系統則(ze)是(shi)應用(yong)程(cheng)序中(zhong)的最小的功能實現單(dan)元。智(zh������i)能家(jia)居(ju)(ju)中(zhong)的遠(yuan)程(cheng)控制(zhi)命令作為智(zhi)能家(jia)居(ju)(ju)業務應用(yong)的核心,在技術上,可實現對(dui)遠(yuan)程(cheng)控制(zhi)命令的認證加固與管理,這樣面(mian)對(dui)有非(fei)法者試圖通過劫持指令來控制(zhi)應用(yong),就(jiu)可以就(jiu)行徹底防������(fang)御,保障智(zhi)能家(jia)居(ju)(ju)使用(yong)者的信息安(an)全。
對遠程控制指(zhi)令(ling)實施(shi)加固是基于智(zhi)(zhi)能(neng)家(jia)(jia)居應(ying)(ying)用(yong)(yong)的防(fang)御,只有智(zhi)(zhi)能(neng)家(jia)(jia)居系統(tong)實施(shi)該應(ying)(ying)用(yong)(yong)、并(bing)�������遭遇(yu)攻(gong)擊時,才會啟動該應(ying)(ying)用(yong)(yong)防(fang)御,所以指(zhi)令(ling)加固的實現(xian)是一種主動防(fang)御,與(yu)傳統(tong)的那些為了實現(xian)安全(quan)防(fan���g)護而投入的眾多安全(quan)系統(tong)與(yu)安全(quan)設備的被動防(fang)御不同(tong),主動防(fang)御不會影響智(zhi)(zhi)能(neng)家(jia)(jia)居系統(tong)的運行效率,還保障了應(ying)(ying)用(yong)(yong)的安全(quan)。
(五)如何實現(xian)智能家居產(chan)品安(an)全防(fang)御的落實與實施
提高智能(neng)家(jia)居產品(pin)的安(an)全性尤為重要,但(dan)也確實(shi)需要有一個過程。一方面需要提高智能(neng)家(jia)居產品(pin)企業(ye)(ye)管(guan)理(li)者(zhe)與設計者(zhe)的安(an)全意識,尤其是企業(ye)(ye)管(guan)理(li)者(zhe)的安(an)����全意識,讓智能(neng)產品(pin)在開(kai)發的過程中(zhong),不僅(jin)僅(jin)關注產品(pin)功能(neng)和(he)用(yong)戶(hu)體驗(yan),而更應該加入安(an)全防御手段(duan),為用(yong)戶(hu)的安(an)全風險考慮。
另外(wai),從用(yong)戶(hu)本身來講(jiang),智能家居產品使用(yong)的(de)安(an)全(quan)(quan)意識也有(you)待(dai)提(ti)高(gao),很(hen)��������多用(yong)戶(hu)只關注產品的(de)功能和使用(yong)的(de)便利性(xing),但(dan)不愿意為企(qi)業(ye)提(ti)高(gao)產品安(an)全(quan)(quan)性(xing)而增(zeng)加的(de)費(fei)用(yong)買(mai)單(dan)。這(zhe)樣(yang)惡性(xing)循環�������,導致(zhi)廠(chang)家與消費(fei)者在(zai)產品的(de)安(an)全(quan)(quan)防御上都沒有(you)動力,一旦出(chu)現(xian)安(an)全(quan)(quan)風險事故,就(jiu)悔之晚矣。
當然,最重要的(de)還是我國相關(guan)的(de)信息(xi)安(an)全法(fa)律法(fa)規(gui)及智能(neng)家(jia)居行業(ye)管理(li)機構(gou)對(dui)(dui)智能(neng)家(jia)居產品安(an)全的(de)保(bao)駕護航(hang)力度,我國去年(nian)頒布的(de)《網(wang)(wang)絡(luo)安(an)全法(fa)》充(chong)分體現了政府和人民群眾對(dui)(dui)網(wang)(wang)絡(luo)安(an)全的(de)要求。智能(neng)家(jia)居行業(ye)管理(li)機構(gou)也應該加強對(dui)(dui)智能(neng)家(jia)居企業(ye)的(d������e)溝通與監管,為智能(neng)家(jia)居�������使用者(zhe)的(de)信息(xi)安(an)全保(bao)障護航(hang)。
本文來(lai)源:引石安評INSComment
本文作者(zhe):引石科技老王
