本文來自物聯(lián)網(wǎng)智庫,作者/趙小飛。
近日,由知名研究機(jī)構(gòu)IMDEA網(wǎng)絡(luò)和美國(guó)東北大學(xué)領(lǐng)導(dǎo)的國(guó)際研究團(tuán)隊(duì)與多家高校和科研機(jī)構(gòu)合作發(fā)布新的研究成果,公布了關(guān)于智能家居中不透明和技術(shù)復(fù)雜的物聯(lián)網(wǎng)設(shè)備日益普及所帶來的安全和隱私挑戰(zhàn)的突破性發(fā)現(xiàn)。
研究表明,物聯(lián)網(wǎng)設(shè)備使用的本地網(wǎng)絡(luò)協(xié)議沒有得到充分保護(hù),暴露了家庭和使用設(shè)備的敏感信息。目前,智能家居已滲透到中國(guó)8000多萬家庭中,到2028年預(yù)計(jì)近2億家庭擁有智能家居產(chǎn)品,安全問題無小事,而本地網(wǎng)絡(luò)的安全隱患以更隱蔽的方式發(fā)生,需要業(yè)界提前重視并采取相應(yīng)措施。
在家庭中不斷增長(zhǎng)的滲透率,智能家居安全問題至關(guān)重要
對(duì)于很多家庭來說,智能家居已不是陌生產(chǎn)品,日常生活中家庭很多智能產(chǎn)品持續(xù)帶來便利,甚至在一定程度上改變了人們的生活習(xí)慣。不過,由于智能家居需要使用各類連接方式接入互聯(lián)網(wǎng),安全和隱私問題成為不可避免的一個(gè)話題,尤其是智能家居使用的場(chǎng)景正是比較私密的家庭空間,保護(hù)安全和隱私是業(yè)界的重要責(zé)任。
近年來,隨著人們生活水平提升,消費(fèi)結(jié)構(gòu)的升級(jí)以及新的消費(fèi)理念不斷出現(xiàn),智能家居產(chǎn)業(yè)得到快速發(fā)展,目前已形成一個(gè)不可忽視的規(guī)?;袌?chǎng)。
根據(jù)市場(chǎng)調(diào)研機(jī)構(gòu)Statista統(tǒng)計(jì)數(shù)據(jù),2022年中國(guó)智能家居市場(chǎng)規(guī)模已達(dá)到233億美元,2022-2028年期間這一市場(chǎng)預(yù)計(jì)保持13.47%的年復(fù)合增速,到2028年最終將達(dá)到520億美元的市場(chǎng)規(guī)模。在家庭應(yīng)用方面,2022年智能家居在中國(guó)家庭的滲透率為16.6%,即有8000多萬戶家庭采用了智能家居產(chǎn)品,Statista預(yù)計(jì)到2028年中國(guó)智能家居的活躍用戶數(shù)將達(dá)到1.91億戶,這意味著有1.91億戶家庭在日常生活中都將高頻率使用智能家居產(chǎn)品,占所有家庭戶的比例達(dá)到39.2%,滲透率已接近4成。
美國(guó)智能家居市場(chǎng)位居全球首位,Statista統(tǒng)計(jì)數(shù)據(jù)顯示,2022年美國(guó)智能家居市場(chǎng)規(guī)模為309億美元,到2028年這一數(shù)據(jù)預(yù)計(jì)將達(dá)到550億美元。2022年美國(guó)智能家居在家庭中的滲透率已達(dá)到43.8%,到2028年這一滲透率將高達(dá)75.1%,屆時(shí)有1.03億戶美國(guó)家庭將高頻使用智能家居產(chǎn)品。
相比美國(guó),中國(guó)的智能家居市場(chǎng)目前的規(guī)模和單家庭貢獻(xiàn)率還不高,2022年中國(guó)已使用智能家居的家庭中,在智能家居產(chǎn)品方面的支出為297.5美元,而美國(guó)這一數(shù)據(jù)為536.2美元。不過,未來幾年中美智能家居市場(chǎng)規(guī)模差距不斷縮小,中國(guó)的智能家居家庭用戶的戶均支出持續(xù)提升,顯示了巨大的發(fā)展?jié)摿Α?/p>
隨著技術(shù)的不斷進(jìn)步,以及家庭用戶對(duì)于便利性、能源效率等方面的需求,智能家居市場(chǎng)會(huì)持續(xù)增長(zhǎng)。從Statista的預(yù)測(cè)數(shù)據(jù)可以看出,未來5年中國(guó)智能家電、家庭安防、家庭娛樂、家庭控制和連接等方面的智能家居產(chǎn)品市場(chǎng)規(guī)模較大,尤其是智能家電一直占據(jù)近一半的市場(chǎng)份額。
當(dāng)然,智能家居普及的背后,是不斷升級(jí)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)廣泛采用。在家庭生活中,這些設(shè)備有攝像頭、麥克風(fēng)和其他方式來感知我們家里私密的空間和家中成員正在發(fā)生的事情,我們能相信我們家中的這些設(shè)備正在安全地處理和保護(hù)它們可以訪問的敏感數(shù)據(jù)嗎?換一個(gè)角度,對(duì)于設(shè)備廠商和智能化接近方案廠商來說,未來數(shù)以億計(jì)的家庭使用智能家居產(chǎn)品,廠商們必須確保給家庭用戶提供的是一個(gè)可信和安全的環(huán)境,否則這一行業(yè)就沒有存在的基礎(chǔ)。
房間內(nèi)的數(shù)據(jù)安全和隱私威脅:智能家居面臨的新挑戰(zhàn)
針對(duì)智能家居安全隱私的研究,此前更多集中在這些物聯(lián)網(wǎng)設(shè)備如何與云服務(wù)之間的安全性,識(shí)別兩者交互過程中的漏洞,揭示了大量智能家居終端和云端交互中信息泄露的實(shí)例,并持續(xù)檢測(cè)暴露于互聯(lián)網(wǎng)的、易受攻擊的物聯(lián)網(wǎng)設(shè)備,這方面已有很多有效成果。
然而,在家庭之內(nèi),同一本地網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備之間的通信對(duì)于平臺(tái)和設(shè)備的互操作性、安全性、隱私性也具有重要意義,針對(duì)家庭本地網(wǎng)絡(luò)中物聯(lián)網(wǎng)設(shè)備之間以及設(shè)備和APP之間持續(xù)無縫交互造成的安全和隱私威脅研究較少。
IMDEA網(wǎng)絡(luò)本次新的研究成果就是專門針對(duì)智能家居本地網(wǎng)絡(luò)安全隱私的方向。研究團(tuán)隊(duì)在近期舉行的ACM IMC’23學(xué)術(shù)大會(huì)上發(fā)表的一篇名為《In the Room Where It Happens:Characterizing Local Communication and Threats in Smart Homes》的論文,首次深入研究93種家庭物聯(lián)網(wǎng)設(shè)備和移動(dòng)應(yīng)用之間在本地網(wǎng)絡(luò)交互的復(fù)雜性,揭示了大量以前未公開的具有實(shí)際現(xiàn)實(shí)意義的安全和隱私問題。
物聯(lián)網(wǎng)設(shè)備不僅通過外部互聯(lián)網(wǎng)進(jìn)行通信,還可以與本地網(wǎng)絡(luò)上運(yùn)行的其他設(shè)備和軟件服務(wù)進(jìn)行通信。目前,一些大型企業(yè)發(fā)布的智能家居平臺(tái)包括了為發(fā)現(xiàn)、連接和管理物聯(lián)網(wǎng)設(shè)備提供的支持和協(xié)議,從而實(shí)現(xiàn)物聯(lián)網(wǎng)供應(yīng)商、設(shè)備和平臺(tái)之間的互操作性。通用的互操作協(xié)議如UPnP、mDNS等已被廣泛應(yīng)用于智能家居,可以即插即用地實(shí)現(xiàn)智能家居設(shè)備地網(wǎng)絡(luò)發(fā)現(xiàn)和協(xié)同工作,還有一些專有的互操作協(xié)議如Matter。
雖然大多數(shù)用戶通常將本地網(wǎng)絡(luò)視為可信和安全的環(huán)境,但I(xiàn)MDEA的研究發(fā)現(xiàn)揭示新威脅,即本地網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備使用標(biāo)準(zhǔn)協(xié)議也可能暴露敏感數(shù)據(jù),如UPnP或mDNS等協(xié)議,這些新的威脅此前被忽視,包括暴露唯一的設(shè)備名稱、UUIDs以及家庭地理位置數(shù)據(jù),所有這些都可以在用戶不知情的情況下被參與監(jiān)控的公司獲取。
研究人員搭建的威脅模型中,考慮的是家庭本地網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備或軟件,可以利用設(shè)備漏洞或網(wǎng)絡(luò)協(xié)議,從同一本地網(wǎng)絡(luò)中的其他設(shè)備收集隱私和敏感數(shù)據(jù),這種攻擊在互聯(lián)網(wǎng)上是不可能實(shí)現(xiàn),然而在一個(gè)家庭之內(nèi)的設(shè)備之間可以實(shí)現(xiàn),這一潛在的安全隱患值得高度重視。
研究團(tuán)隊(duì)的一位專家表示,他們發(fā)現(xiàn)了物聯(lián)網(wǎng)設(shè)備無意中會(huì)暴露至少一個(gè)PII(個(gè)人可識(shí)別信息)的證據(jù),包括如在成千上萬個(gè)真實(shí)世界的智能家居設(shè)備的唯一硬件地址(MAC)、UUID或唯一設(shè)備名稱。任何一個(gè)單獨(dú)的PII都有助于識(shí)別一個(gè)家庭,雖然無法精準(zhǔn)識(shí)別,但是將這三者結(jié)合在一起會(huì)使一個(gè)家庭描述非常獨(dú)特,很容易直接識(shí)別到家庭的重要信息。該專家指出,如果一個(gè)智能家居擁有所有這三種類型的標(biāo)識(shí)符,至少可以在112萬個(gè)家庭中精準(zhǔn)找到一個(gè)家庭。
因此,這些本地網(wǎng)絡(luò)協(xié)議可以作為訪問家庭物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)的輔助渠道,而這些物聯(lián)網(wǎng)數(shù)據(jù)本應(yīng)受到移動(dòng)APP權(quán)限保護(hù)。不過,研究人員發(fā)現(xiàn),某些間諜軟件、應(yīng)用程序和廣告公司確實(shí)在濫用本地網(wǎng)絡(luò)協(xié)議,在用戶毫無察覺的情況下悄悄訪問此類敏感信息。這些威脅是真實(shí)存在的,例如華爾街日?qǐng)?bào)曾報(bào)道過谷歌禁用的一個(gè)隱藏獲取數(shù)據(jù)的APP,這個(gè)應(yīng)用有一個(gè)嵌入的間諜軟件SDK,可以向很多局域網(wǎng)發(fā)送廣播消息,對(duì)其他設(shè)備進(jìn)行指紋識(shí)別,將設(shè)備的標(biāo)識(shí)符和位置數(shù)據(jù)過濾至云端。
該團(tuán)隊(duì)的研究表明,物聯(lián)網(wǎng)設(shè)備使用的本地網(wǎng)絡(luò)協(xié)議存在一定風(fēng)險(xiǎn),會(huì)暴露關(guān)于家庭和家庭成員對(duì)設(shè)備的使用的敏感信息,這些信息是以一種不透明的方式收集的。在這一情況下,物聯(lián)網(wǎng)產(chǎn)品制造商、軟件開發(fā)者、平臺(tái)企業(yè)等需要采取相應(yīng)的措施來保護(hù)智能家居設(shè)備的安全和隱私,保障家庭用戶的權(quán)益。同時(shí),政策制定者未來可以考慮針對(duì)智能家居本地網(wǎng)絡(luò)協(xié)議安全性制定相應(yīng)制度。