揭開(kāi)物聯(lián)網(wǎng)智能設備安全漏洞的冰山一角

　　智能燈具、智能插座、智能手表、寵物嬰兒監控器……當你購買(mǎi)這些智能家電的時(shí)候，或許不會(huì )想到，智能燈泡數據可能為小偷提供作案時(shí)間，智能攝像頭正在現場(chǎng)直播你的生活場(chǎng)面，而智能冰箱也可作為垃圾郵件的發(fā)送端。

　　“大數據”時(shí)代，用戶(hù)的網(wǎng)上行為數據往往在不知情的情況下被獲取。專(zhuān)家提醒，目前市場(chǎng)上的物聯(lián)網(wǎng)設備，至少一半都處于“裸奔”狀態(tài)，存在安全漏洞極易被攻擊。

　　兒童智能手表、家庭攝像頭、掃地機器人等物聯(lián)網(wǎng)智能設備很多存在安全隱患，一旦被攻擊，很可能“出賣(mài)”你的隱私。

　　智能兒童表

　　你的孩子可能被實(shí)時(shí)監控

　　臨近暑假，上海市場(chǎng)上面對少兒的智能家電正熱賣(mài)。記者來(lái)到市區某電子市場(chǎng)，發(fā)現近一半的柜臺都把兒童智能手表放在最顯眼的地方。商家的廣告直擊家長(cháng)“痛點(diǎn)”：“兒童智能手表，孩子手上的貼身保鏢”“擔心孩子走失，那就給他戴款智能手表”。

　　“兒童智能手表銷(xiāo)量第一，其次是智能學(xué)習機和智能機器人?！币粋€(gè)商家告訴記者，這幾周的銷(xiāo)量都是平日的兩倍以上。

　　兒童智能手表價(jià)格參差不齊，便宜的一兩百、貴的近千元，功能大多雷同：向家長(cháng)提供孩子的位置信息、支持雙向電話(huà)、語(yǔ)音群聊，部分還能接收文字信息。

　　記者隨機采訪(fǎng)了多位購買(mǎi)兒童智能手表的顧客，都認為手表“很實(shí)用”。一個(gè)媽媽表示：“現在小學(xué)生幾乎人手一個(gè)，家長(cháng)能和孩子隨時(shí)通話(huà)，也能看到孩子行走的軌跡，走哪兒家長(cháng)心里都有數?！弊屗粷M(mǎn)意的是，最新款的手表都升級到了4G，增加了不必要的游戲功能。至于安全風(fēng)險，大多數人都表示沒(méi)想過(guò)。

　　有報告顯示，淘寶13款兒童智能手表可導致超百萬(wàn)兒童被黑客實(shí)時(shí)監控，獲取兒童的日常行走軌跡等。

　　近日，國內最大的安全眾測平臺“烏云”，發(fā)布了兒童智能手表的一份報告：淘寶銷(xiāo)量前32位的兒童智能手表，有13款存在接口越權漏洞，可導致超百萬(wàn)兒童被黑客實(shí)時(shí)監控，獲取兒童的日常行走軌跡，實(shí)時(shí)環(huán)境聲音等?！盀踉啤钡摹鞍酌弊印边€現場(chǎng)演示，只要得到父母的手機號，或者是進(jìn)入系統平臺，便可破解該手機號關(guān)聯(lián)的孩子的手表，從而獲取實(shí)時(shí)定位、全部行走路線(xiàn)。

　　更令人意外的是，現在很多智能手表都有通話(huà)、監聽(tīng)、錄音等功能，通過(guò)這些漏洞，不法分子可隨時(shí)聽(tīng)到孩子的聲音，了解孩子所處的環(huán)境。若手表放在家里，也隨時(shí)可錄制到家長(cháng)的對話(huà)，無(wú)論對于小孩和家長(cháng)，都存在比較大的隱私泄漏危險。

　　中國兒童智能手表市場(chǎng)正在快速發(fā)展，根據統計，2017年第一季度，中國兒童智能手表市場(chǎng)出貨量高達351萬(wàn)臺，同比增長(cháng)64.9%。隨著(zhù)手表由2G向4G升級，功能越來(lái)越多，也伴隨著(zhù)風(fēng)險的成倍疊加。

　　孩子安全的第一守衛者并不是電子產(chǎn)品，而應該是家長(cháng)，家長(cháng)的監護責任是任何電子產(chǎn)品都不能替代的。此外，讓孩子學(xué)習一些安全常識，樹(shù)立孩子自我保護意識也十分必要。

　　智能云存儲

　　每30秒受到1次黑客攻擊

　　“云存儲”早就不是新鮮事物，伴隨著(zhù)物聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的智能家電也能與手機聯(lián)網(wǎng)，在“云端”使用存儲信息。輕觸“上傳”“保存”，原本需要存儲在實(shí)體工具中的大容量文件，只需幾步就能輕松保存到網(wǎng)絡(luò )“云端”。但隨之而來(lái)的，是個(gè)人隱私數據泄露的憂(yōu)慮。

　　數據容量動(dòng)輒以TB計數的時(shí)代，網(wǎng)絡(luò )“云”能否真正有效保障個(gè)人信息不被泄露?

　　記者注冊多個(gè)云平臺，大多數運營(yíng)商在《用戶(hù)協(xié)議》中承諾，“不會(huì )公開(kāi)或向第三方提供用戶(hù)存儲在云服務(wù)上的非公開(kāi)內容”，細讀下去，后面一句卻另有深意，“除非有下列情況”。這些免責內容，大多包含在數千字的《用戶(hù)協(xié)議》中，極易忽視。

　　“下列情況”大多包括：用戶(hù)資料遭到未授權的使用或修改，造成的有形或無(wú)形損失，運營(yíng)方不承擔任何直接、間接的賠償。還有一些看似提醒實(shí)則霸道的《服務(wù)協(xié)議》描述，例如：“(運營(yíng)方)有權在無(wú)需事先通知用戶(hù)的情況下，采取一切認為必要的措施”。

　　看不見(jiàn)摸不著(zhù)的“云盤(pán)”，真的安全嗎?事實(shí)上，云盤(pán)平臺一直以來(lái)都是黑客攻擊的重點(diǎn)目標，“有些云盤(pán)，平均每30秒就受到一次黑客攻擊?！币晃粯I(yè)內人士告訴記者。

　　互聯(lián)網(wǎng)安全專(zhuān)家佟力強提醒，選擇可信度高的網(wǎng)絡(luò )產(chǎn)品服務(wù)提供商，使用新技術(shù)新產(chǎn)品前，一定要注意看《產(chǎn)品用戶(hù)協(xié)議》，明白自己的權利義務(wù)。一些涉及重要人身隱私財產(chǎn)的信息，不要輕易上傳云端。在發(fā)現違法犯罪行為時(shí)，應及時(shí)向網(wǎng)信、公安部門(mén)舉報，并留存好相關(guān)證據材料。

　　近半年來(lái)，關(guān)于云盤(pán)泄露個(gè)人信息的事件層出不窮，中國政法大學(xué)知識產(chǎn)權研究中心特約研究員李俊慧認為，當前對互聯(lián)網(wǎng)領(lǐng)域相關(guān)的規定還亟須完善，云數據儲存需要厘清個(gè)人、運營(yíng)商和監管者的權責界線(xiàn)。

　　近日，有媒體報道，智能攝像頭被曝導致大量用戶(hù)隱私泄露。

　　智能家電

　　一旦染毒隱私無(wú)處可藏

　　5月，勒索病毒爆發(fā)，僅僅2天時(shí)間就造成了全球150多個(gè)國家的20多萬(wàn)人受影響，高校、火車(chē)站、自助終端、郵政、加油站、醫院、政府辦事終端等多個(gè)領(lǐng)域受到侵害。很多人驚魂未定，“智能家電也有可能被病毒感染嗎?”

　　“現在的物聯(lián)網(wǎng)設備基本都是在 裸奔 ?！睂?zhuān)注物聯(lián)網(wǎng)安全投資的永洲創(chuàng )投創(chuàng )始合伙人陸一舟“語(yǔ)出驚人”。

　　他舉例稱(chēng)：有家廠(chǎng)商為了檢測一款空調的噪音以改進(jìn)產(chǎn)品，就在空調里安裝了收集聲音的裝備，這些設備可以回傳眾多空調的分貝數。但就是這么一個(gè)裝備，很快被外部的安全專(zhuān)家發(fā)現了漏洞，只需要略施小計，就可以將其變成“竊聽(tīng)器”。

　　互聯(lián)網(wǎng)安全專(zhuān)家肖新光則舉例：現在很多人家里都買(mǎi)了掃地機器人，這個(gè)機器人都有麥克、攝像頭等裝置，也需連接網(wǎng)絡(luò )，這就相當于是一臺潛在的監控設備。一旦遭到攻擊，家庭隱私也就無(wú)處可藏。

　　2016網(wǎng)絡(luò )安全大會(huì )，一個(gè)解碼安全團隊通過(guò)攻擊智能插座，實(shí)現了利用插座發(fā)布微博。他們在接入到智能家居的控制網(wǎng)絡(luò )后，利用漏洞攻擊智能插座，獲得APP端的認證信息，從而遠程控制智能插座，再利用協(xié)議上的漏洞，便可以通過(guò)一個(gè)智能插座來(lái)發(fā)送微博。

　　“現在向物聯(lián)網(wǎng)轉型的企業(yè)，多數都是白色家電企業(yè)出身。他們的安全能力嚴重不足，固有思維是追求硬件的標準化，而黑客就是喜歡標準化的硬件?！币晃粯I(yè)內人士告訴記者。

　　【專(zhuān)家點(diǎn)評】

　　看似智能的家電，在黑客攻擊面前往往不堪一擊。切實(shí)有效的應對之策在哪里?最新的方向是區塊鏈技術(shù)，相比備受爭議的比特幣，其背后的區塊鏈技術(shù)，被認為有望改變世界的未來(lái)。

　　區塊鏈就像一個(gè)數據庫賬本，記載所有的交易記錄。區塊鏈完整保存所有交易記錄的特點(diǎn)讓任何人都無(wú)法從中作假。簡(jiǎn)單來(lái)說(shuō)，區塊鏈就是一臺創(chuàng )造信任的機器、一個(gè)安全可信的保險箱，可以讓互不信任的人，在沒(méi)有權威中間機構的統籌下，還能愉快地進(jìn)行信息互換與價(jià)值互換。這種安全、便捷的特性逐漸得到了銀行與金融業(yè)的關(guān)注。

　　去年底，復旦大學(xué)計算機科學(xué)技術(shù)學(xué)院成立“區塊鏈技術(shù)聯(lián)合創(chuàng )新中心”。記者采訪(fǎng)復旦大學(xué)軟件學(xué)院副院長(cháng)韓偉力教授，他表示，“區塊鏈可以提供一種可信賴(lài)的數據服務(wù)，因此可以廣泛用于各類(lèi)物聯(lián)網(wǎng)應用中，所以應用到智能家電也是可行的?！?/p>

　　以智能攝像頭泄露隱私事件為例，如果使用區塊鏈技術(shù)是否可以避免?韓偉力教授解釋?zhuān)笆褂脜^塊鏈技術(shù)，可以方便物聯(lián)網(wǎng)各個(gè)節點(diǎn)之間建立信任關(guān)系，也即可以讓用戶(hù)與攝像頭、甚至各個(gè)物聯(lián)網(wǎng)節點(diǎn)之間的相互認證變得更加便捷。當然這需要進(jìn)一步地研發(fā)相關(guān)的應用系統，從系統、使用管理共同入手，才能保障智能家電的安全，并保護用戶(hù)隱私?！?/p>