来源:ictsecuritymagazine、安情视界
智能家居安全已成为我们这个时代的矛盾修辞法。智能家居的承诺以顺从声音的灯、预测我们欲望的恒温器、在我们睡觉时守望的摄像头来吸引我们。然而,在这种技术外表背后隐藏着一个令人不安的悖论:我们的家变得越“智能”,在保护我们的网络安全和隐私方面,它们似乎就越不负责任。本应是我们的数字堡垒正在变成一个筛子,我们的个人数据、我们的亲密关系甚至我们的人身安全都会在我们不注意的情况下溜走。
物联网设备:每个连接都是漏洞
从最新数据中得出的现实是严峻的,没有乐观解释的余地。根据 NETGEAR 和 Bitdefender 进行的 2024 年权威报告,该报告分析了产生超过 90 亿次安全事件的近 5000 万台物联网设备,每台家庭设备平均每 24 小时就会收到 10 次网络攻击。这不是拼写错误:连接到家庭网络的每台设备每天都会受到十次攻击。智能家居保护系统每天平均要阻止 250 万个威胁,每分钟大约有 1736 个威胁。
结构问题在于这些设备本身的数量。Parks Associates 的研究表明,美国家庭平均拥有 17 台联网设备,而其他分析表明,这一数字在全球范围内可能会上升到 21 台设备。其中每一个都代表着坚定的攻击者的潜在入口点。最常见的漏洞?该报告精确地确定了两个主要的致命弱点:缓冲区溢出和拒绝服务攻击,它们合计占已发现的安全漏洞的 55% 以上,缓冲区溢出占 28 点 25%,拒绝服务占 27 点 20%。
但这个发人深省的数字涉及智能电视,到 2023 年,智能电视在最脆弱的设备排名中占据主导地位,占总漏洞的 34%,其次是智能插头(占 18%)和数字录像机(占 13%)。原因既简单又令人担忧:这些设备在我们的家中保留多年,通常远远超过制造商提供安全更新的期限,变成数字定时炸弹,等待触发。
真正的戏剧性是,许多制造商将上市速度置于网络安全之上。使用荒谬的默认密码(例如“admin/admin”)出售的设备,没有适当的加密,并且使用从不接收更新的基本作系统。这就像把你的房子钥匙放在门垫下,并期望没有人能找到它。
Baby Mmonitors 被黑客入侵:儿童房的噩梦
如果有一个标志性的案例完美体现了智能家居的威胁,那就是被网络犯罪分子入侵的婴儿监视器。我们不是在谈论技术惊悚片中的假设场景,而是在谈论真实发生并精确记录的事件。南卡罗来纳州的一位母亲经历了这种可怕的经历:在家庭聚餐期间,她的婴儿监视器开始自行移动,却发现她的帐户完全被锁定。其他家长则通过受感染的设备听到未知的声音与孩子交谈,这种经历留下了深深的心理创伤。
2018 年,Rapid7 公司的安全专家记录了几乎所有测试的显示器都存在容易被利用的漏洞:可绕过身份验证、在不通知用户的情况下重置为默认值、完全缺乏加密。联邦贸易委员会不得不制裁像 TRENDnet 这样的公司,因为一名黑客在网上发布了他们摄像头的实时画面,显示成年人在家里,孩子睡在卧室里。潜在的技术问题?访问凭据以纯文本形式传输,没有任何加密保护,就像任何人都可以阅读的明信片一样。
SaferForBaby 上发表的一项详细分析记录了自 2009 年以来的大量入侵案例,强调了大多数被黑客入侵的婴儿监视器如何使用过时的加密算法,例如 MD5 哈希,或者更糟糕的是,根本没有保护。具有弱密码或默认密码的设备在几分钟内就通过简单的暴力攻击被破坏,这些攻击系统地尝试常见组合。
专家们明确一点:那些入侵这些设备的人不一定对监视儿童感兴趣。通常,真正的目标是将设备用作跳板,渗透到整个家庭网络中并窃取银行信息和密码等敏感数据,或者将设备纳入僵尸网络以进行更大规模的攻击。但这并没有使泄露行为变得不那么严重:家庭隐私仍然受到毁灭性的损害,对父母的心理影响是深远而持久的。
Mirai 僵尸网络:当恒温器成为数字武器时
2016 年秋季,互联网经历了其历史上最大的网络攻击之一,这一事件改写了网络安全方面的游戏规则。罪魁祸首不是复杂的政府恶意软件或国际间谍活动,而是一支由受损恒温器、摄像头和婴儿监视器组成的大军。她的名字叫未来,她的影响是毁灭性的。
Mirai 恶意软件利用了一个既微不足道又普遍的漏洞:用户永远不会更改的默认密码。根据美国网络安全和基础设施安全局的记录,Mirai 的字典仅包含 62 种常见用户名和密码组合,就成功破坏了超过 38 万台物联网设备。该技术的简单性令人震惊:该恶意软件会自动扫描互联网以查找将 Linux 版本用于 ARC 处理器的设备,尝试使用预定义凭据进行访问,如果成功,则通过将设备变成远程控制的“僵尸”来感染设备。
结果是灾难性的。2016 年 9 月 20 日,安全博客 Krebs on Security 遭受了每秒超过 620 吉比特的 DDoS 攻击,这是迄今为止有记录以来最大的 DDoS 攻击之一。几周后,法国提供商 OVH 遭到了每秒 1 太比特的攻击,创造了新的世界纪录。但破坏的高潮出现在 2016 年 10 月 21 日,当时 Mirai 攻击了重要的 DNS 服务提供商 Dyn。据 Flashpoint 报道,此次攻击使美国东海岸和欧洲部分地区的 Twitter、Netflix、Reddit、GitHub 和 Spotify 等网站数小时无法访问。
Cloudflare 进行的回顾性分析显示,这些攻击主要影响了家用路由器、网络摄像机和数字录像机。人们为了感到更安全而安装的设备,矛盾的是,却变成了攻击他人的武器。这个问题一直持续到今天:根据最近的数据,Mirai 的现代变体使用超过 13,000 台物联网设备发起了创纪录的每秒 5 点 6 太比特的攻击,比 2024 年最大的攻击增加了 46%。
该机制在隐形中是偷偷摸摸的:设备的所有者通常不会注意到任何东西。恒温器继续正常运行,摄像机照常记录,但与此同时,设备会悄无声息地参与对远程目标的攻击。你的家被用作一场你甚至不知道的网络战争的行动基地,一个不知情的士兵,在世界另一端被犯罪分子控制的数字军队中。
物联网隐私:您的数据出售给出价最高的人
如果说外部攻击是一种明显而巨大的威胁,那么还有一个更阴险的危险,它完全合法地运作,隐藏在没有人阅读的隐私政策迷宫中:系统地收集和出售我们的个人数据。中国东北大学和伦敦帝国理工学院的一项联合研究分析了 81 种家庭中常见的智能设备,发现了一个令人震惊的现实:其中 72 种设备与与原始制造商完全无关的第三方共享数据,这些公司可能从未听说过,并且会悄悄收集有关您日常生活的信息。
共享的数据远远超出了有关设备的技术信息。它们包括显示您的位置的 IP 地址、唯一标识您家的设备规格和配置、跟踪您何时在家和外出的使用习惯以及精确的位置数据。更令人担忧的是:这 81 台设备中有 30 台以未加密的文本文件共享数据,任何“监听”数据流的人都很容易拦截。任何不良行为者都可以对您的身份、确切位置和日常行为做出精确推断。
纽约大学坦登工程学院的研究人员表明,物联网设备使用的本地网络协议会暴露个人身份信息,例如唯一的硬件 MAC 地址、UUID 和唯一的设备名称。通过结合这三个标识符,智能家居变得只有百万分之一和十二万分之一。做一个有启发性的比较:最简单的浏览器指纹识别技术使一个人像一千五百分之一一样独特。因此,智能家居比个人更容易识别和追溯。
Ooma 2018 年对 2,000 名美国消费者进行的一项调查显示,72% 已经拥有智能家居安全系统的人担心提供商会使用这些设备侵犯他们的隐私。收集到的数据完全证明了这些担忧。Surfshark 的一项研究分析了与大约 400 台物联网设备相连的 290 个智能家居应用程序,结果显示,十分之一的人与第三方共享用户数据,而且往往没有真正知情同意。
该机制通常隐藏在我们无需阅读即可接受的难以辨认的隐私政策迷宫中。收集到的数据用于根据用户的日常习惯创建复杂的用户档案。当这些信息包括精确的地理位置数据、从社交媒体中提取的信息和唯一的设备标识符时,出现的图片将非常详细和具有侵入性。
我们的家不再是一个私人的、不可侵犯的避难所,而是变成了一个透明的水族馆,我们的一举一动、我们的每一个习惯、我们的每一个偏好都会被记录、分析,并有可能卖给出价最高的人。
智能家居安全:具体安全策略
面对这片黯淡的全景,诱惑可能是完全放弃智能家居技术,回归旧的机械开关。但您不必将婴儿与洗澡水一起扔掉:有一些具体且易于使用的策略可以在不牺牲家庭自动化优势的情况下大幅降低风险。
任何人都可以立即采取的第一个也是最基本的行动是更改所有默认密码。据 Origin Wireless 称,估计有 15% 的物联网设备所有者默认从不更改密码,这使得数百万台设备容易受到最基本的攻击。每个设备都必须有一个唯一的、长的、复杂的和无法猜到的密码。双因素身份验证(如果可用)应始终启用,无一例外。
网络分段是一项至关重要但经常被忽视的策略。许多现代路由器允许为访客创建单独的网络,这一功能应用于将物联网设备与具有更敏感数据的计算机和智能手机所在的主网络隔离开来。这样,即使智能设备受到威胁,攻击者也无法立即访问包含银行信息、密码和个人文档的最关键设备。
固件更新是必不可少的,但长期被忽视。许多设备需要手动更新,制造商会定期针对新发现的漏洞发布安全补丁。定期检查更新并及时安装可能是安全设备和易受攻击设备之间的区别。只要有可能,启用自动更新就可以从您的脑海待办事项列表中消除此任务。
加密必须是一个不可协商的优先事项。对于无线网络,如果您的路由器支持,请使用 WPA3,或者至少使用 WPA2 作为最低可接受标准。确保路由器的防火墙始终处于活动状态并配置正确。对于配备摄像头的设备,请考虑在不使用时物理覆盖镜头——这并不能防止黑客攻击本身,但如果设备已经受到损害,它确实会显着增加隐私。
阅读隐私政策,无论它们多么乏味和冗长,都是一项值得至少做一次的练习。了解收集哪些数据、如何使用数据、与谁共享数据以及存储多长时间,可以让您做出明智的选择。如果设备收集的数据远远超过其主要功能所需的数据,请将其视为危险信号。只要有可能,请使用本地存储而不是云,以降低数据在传输过程中被拦截或泄露的风险。
法规与责任:迈向更安全的未来
智能家居安全不能也绝不能完全落在消费者的肩上。制造商在设计从一开始就安全的设备方面负有基本责任,这一概念被称为“设计安全”,应该成为常态而不是例外。这意味着实施强制自动更新,对所有通信使用强加密,负责任和透明地管理数据,并提供有关如何收集、使用和共享数据的清晰信息。
在欧洲,《网络弹性法案》正在为物联网设备引入强制性最低安全和制造标准,这是多年来人们期待的监管突破。在美国,网络信任标志承诺对符合特定安全标准的设备进行认证,使消费者能够做出更明智的选择。这些监管发展虽然迟于市场的发展,但代表着朝着正确方向迈出的重要一步,并可能最终迫使制造商认真对待安全。
开放 Web 应用程序安全项目已经确定了十大物联网漏洞,为供应商提供了清晰详细的路线图,说明需要紧急解决的问题。意识正在缓慢但稳定地增长。在 2018 年 Jabil 对互联家庭和建筑技术趋势的调查中,69% 的参与者表示,最近对数据隐私的关注促使他们重新考虑从智能设备收集和使用数据的计划。
这种心态的变化,无论是在意识越来越强的消费者中,还是在压力越来越大的生产者中,都是一个令人鼓舞的迹象,表明这一趋势可能会逆转。
未来的家首先必须是安全的
智能家居革命是不可避免的,而且在许多方面都是真诚可取的。能够在减少环境影响的同时优化能源消耗,通过智能监控系统提高物理安全性,通过腾出时间做真正重要的事情来简化日常生活:这些都是真实、有形和不可否认的好处。但这些好处不能也不应该以牺牲我们的数字安全和基本隐私为代价。
我们面临的挑战是显而易见的,不允许妥协:我们必须要求我们家庭的情报也延伸到安全领域。我们不能接受旨在保护我们的设备成为我们的弱点。我们不能容忍我们的家庭亲密关系被当作讨价还价的筹码来营销。我们不能让我们的家园在不知不觉中变成针对他人的武器,助长一场网络战争,而我们是网络战争的受害者和不知情的帮凶。
未来的智能家居也必须是一个安全、可靠、隐私友好的家。这需要集体和持续的承诺:要求透明度和安全的知情和警惕的消费者,从设计阶段就将安全放在首位的负责任的制造商,细心和积极主动的监管机构制定强制性最低标准并严格执行这些标准。只有通过这种协调努力,我们才能享受到技术带来的好处,而无需付出天真安全的不可接受的代价来换取智能家居。
此时此地,选择权在我们手中:继续住在只有一半聪明、脆弱和可利用的家庭中,或者需要真正的智慧,其中还包括保护自己的基本能力。因为真正的智能家居首先是一个安全的家,可以保护住在那里的人。
来源:ictsecuritymagazine、安情视界
@王捷律师
垦丁(广州)律所创始合伙人
jie.wang@kindinglaw.com
+86 13650790754
●曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了14年+科技型公司实务经验,具备中外律所从业背景。同时也是广东数据资产登记合规委员会评审专家、持有CIPP/E、CIPM、区块链应用操作员资格证书、数据安全师、数据合规官等证书。
●专业领域:企业出海合规、个人信息保护与全球数据合规、互联网企业、联网产品综合合规、包括资质认证辅导、广告合规、知识产权攻防布局等。
●业务领域:移动互联网、智能软硬件与物联网、智能网联汽车与车机系统、跨境电商、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等。
识别二维码,添加律师微信
END
出海互联网法律交流群正式开放!
在这里,我们为社群成员精选每日全球互联网法律动态,涵盖数据合规、隐私保护、广告合规法规、知识产权等热点话题,帮助大家掌握最新政策趋势。我们还会定期组织线上线下交流活动,链接出海法务生态圈,助力企业合规落地,寻找潜在合作伙伴。欢迎扫描下方二维码申请入群,一同探索全球市场法律规则!
团队精选报告
智能软硬件出海
AIGC出海
数据合规出海