无论是从事智能家居产业的人也好,还是终端用户也好,我们都在不断地反问自己:智能家居收集了大量的私人数据,这些会不会导致个人隐私泄露?智能家居系统拥有无所不在的传感器节点和读取设备,我们的个人信息很容易被非法读取或被收集起来恶意转让,由此引发的个人信息泄露可能导致财务流失、隐私泄露被传播,甚至损害生命安全。
智能家居涉及的隐私有登录智能家居系统的账号、IP地址、个人身份信息、个人地理位置、用户偏好设置、网络交互内容、健康状况、行为习惯、活动区域、消费习惯、音视频内容等。
许多智能家居设备都可通过互联网实现远程控制和监控功能,其中的大多数还可连接至基于云端的服务。用户则可通过网页端口或智能手机应用与之进行交互,智能家居属于物联网的应用层,而下面的网络层与感知层涉及的安全漏洞不是一个点、两个点,而是错综复杂的多点,数据隐私的保护比传统的单一行业要难得多。目前智能家居数据涉及的范围很广很多,而且数据分布比较散,如设备厂商、云平台厂商、用户APP、服务提供商都掌握了一定的数据量。
黑客通过环境噪声或灯光来判断用户家里是否有人;使用麦克风来对家中的情况窃听;根据用户在网上的行为与相关联系人间的信息融合,就可以准确推测用户的个人完整档案;利用IP地址来跟踪用户的位置和行踪,判断某用户的行动范围;窃取用户的私人电话、电子邮箱等,来进行诈骗等不法行为;对于某些关键人物的隐私数据挖掘,还可能涉及国家安全、商业秘密等敏感信息的泄露。
黑客可以攻击固件当中的漏洞,也可以攻击设备间的通信协议,我们将用户和云服务之间称为设备的前端,将设备和云服务之间称之为后端,前端方面很多智能家居厂商都没有对用户进行任何加密,为黑客攻击创造了可能;后端的情况比前端还要糟糕,许多设备都没有执行加密,甚至对重放攻击也毫无防御,丧失这些保护的结果就是敏感数据的泄露。
通过端对端的通信双方互相认证以及依靠新的秘钥协议,使得即使有部分节点被操纵后,攻击者也不能,或者很难从获取节点信息推导出其他节点的秘钥信息;对传输信息加密解决窃听问题;只有被授权的用户可以访问网络中的交互信息,保护网络隐私安全;采用跳频技术减轻网络数据堵塞问题。
攻击者非法获取监测点数据,或对其进行篡改,然后将其伪装后放在智能家居系统网络环境中,冒名授权节点,甚至可以骗取其他节点的信任,多次获取交互数据,也可以通过其他节点进行数据传输,甚至可以插入虚假节点,迫使系统避免数据失真。
隐私攻击方式
通过数据监听可以分析出数据源的行为习惯、兴趣爱好以及活动范围和通信数据,通过可读标签或者智能家居设备就可以窃取相当多的隐私数据,并且通过这些数据分析出用户更加详细的相关信息。
物联网多网融合应具有相对完善的安全保障,但是由于物联网构成感知节点众多,而且以分布式存在,因此常常在数据传递时,可能会发生大量集群的DDOS攻击,造成数据传输失败。
此类的漏洞很多,市场上有的智能家居会在某些端口运行未认证的HTTP服务;在运行某些第三方服务时不需要密码;在连接某些服务时还会暴露基本的连接信息;暴露的ADB接口可向攻击者提供Root权限,让黑客得以在设备上执行任意代码和命令。
(1)拒绝所有信息数据的交互,但是无法获得智能家居的相应功能服务。
(2)提供需求的服务名称,隐藏用户身份来进行多方位的服务功能,但是隐藏用户身份会导致个人隐私偏好等数据无法保存,每次登录智能家居系统都需要重新选择。
在整个智能家居的数据分布存储中,可能会涉及不同权限的共享数据访问,对于数据的产权保护、销毁数据、数据取证方面的责任明确,都需要通用的安全准则来共同确立。
不能只依靠技术层面来解决智能家居安全隐私问题,还要依靠法律、企业的自律和安全标准来解决对用户的隐私保护,当下隐私保护已经成为亟待解决的问题,从国家到联盟再到企业,都在商讨智能家居设备的安全问题。
但统一管理、技术融合、多网络协议等综合原因,导致智能家居的安全性问题从设备到云端,都会有一定的安全漏洞敞开,防患困难可想而知。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。