智能家居存在哪些安全风险和关键问题?
- 来源:引石安评
- 2018/4/8 9:31:3337080
【中国安防展览网 智能家居】智能家居设备给人们带来方便的同时,也给大家的生活带来了更多亮点。但在智能家居应用中,却暗藏着很多信息安全风险。
(一)从信息安全的风险考虑,现在的安全风险要远远高于过去
智能家居是高度数据化、信息化的时代产物,它的产品设计不能仅仅是停留在几年前设计手机和电脑的思维上,未来智能家居产品要互联互通才可以为人们带来更多便利。因此,智能家居的设计需要有更高的安全意识与思维,否则,一旦智能家居网络被入侵,那将可能是灾难性的风险。
在之前的互联网时代,人们在家里也会面对信息安全的问题,但人们也很清楚,风险造成的坏可能不过是家中电脑中的资料和信息被黑客偷走。所以,在那个时代,人们只要做好备份,不在链接网络的电脑设备上存储敏感信息或资料就可以保障基本的安全。
而现在,人工智能技术快速发展,人们随身携带并使用着各种智能化设备,在家中还安装了很多的智能家居设备,这些设备通过物联网技术都链接起来,一旦出现安全风险就绝不仅是之前电脑联网那么简单。人们家中的生活、学习很多都与网络链接起来,甚至放到了网上,如果不做好安全保护,风险将远远超出过去。
(二)面对安全风险,是什么让智能家居厂家还不能重视
首先,从目前的整个智能家居产品的大环境来讲,面对数据与流量为王的信息时代,对于新兴的智能家居产业,投资者们首先需要的是更多的流量和数据来充实产品销售的报表。所以,智能家居产品被更多地冠以了便捷、智能化的功能和体验,更多的是先向用户实现销售的宣传,而安全作为事后发生的一种概率事件,就被智能家居厂家投资者、管理者们这样的思维忽略了。
其次,信息安全本身也确实是一门很专业的技术。大多数厂商们的技术集中家居设备的生产、制造与应用开发,但对信息安全技术与知识的了解很匮乏。一方面,很少有安全意识去考虑如何防御信息风险,另一方面,自身也想到了产品的风险防御,但却不知道如何下手,如果去寻找第三方合作,那就要投入一定的成本,而这样也就无形中加大了智能家居产品的成本投入,面对智能家居产品的市场竞争与客户需求,厂家们也就抱着不会出现安全风险的侥幸心态去做智能产品了。
当然,也一定有熟悉安全的厂商,他们常用的方式是采用自己独立的协议,自成一套体系,虽然保证了自己产品的安全,但这样的方式对于今后智能家居设备的扩展与互联互通就会造成麻烦。由于不同协议产品之间不能互联互通,所以就出现了一些将协议统一的平台,比如京东微联这样的平台。但即使这样,对用户来讲想要随意选择产品也很困难,因为并不是所有的智能产品都与京东微联实现互通,还有很多智能家居产品在苏宁的平台、小米的平台上销售,他们每加入一个智能家居联盟就要适合每一个平台的协议,从某个角度来讲,这样的乱局实际上又对智能家居产品进行了分类控制。
对于一个家庭来讲,要么只能选一家品牌的产品来整合自己家中的家居智能,要么就只能选择某些适合的单个智能家居产品来使用,但这样的话,今后智能家居产品的互联互通就很难做到了。
(三)智能家居产品中存在哪些安全风险和关键问题
在智能家居应用中,家庭是一个可信任的隐私区域,而互联网则是一个不可信任的开放区域,当数据从互联网的开放区域进入家庭隐私区域时,如果没有好的安全防御策略与手段,风险便会随之入侵。
目前智能家居中存在的安全风险主要有以下4类:
①数据传输未加密或简单加密,导致用户信息泄漏。(比如:传输到云端的数据被截取、复制)
②客户端APP未安全检测,相关代码存在漏洞缺陷。(比如:通过漏洞取走用户的账户、密码等)
③硬件设备存在调试接口,使用有安全漏洞的操作系统或第三方库。(比如:入侵设备,劫持设备应用)
④远程控制命令缺乏加固授权,存在非法入侵、劫持应用的风险。(比如,摄像头被非法入侵使用)
为了方便人们对智能家居的使用,让人们随时监控操作家中得智能化产品,大多智能家居产品都是通过云端远程发送控制命令来实现人们对智能家居产品的控制。而恰恰是这种方便的手段,由于缺乏安全防御手段,可能就会给智能家居的带来了巨大的风险。
就像在去年(2017年)闹得沸沸扬扬得摄像头泄露隐私、扫地机被入侵控制后泄露家庭隐私等事件,就是黑客非法入侵劫持了这些控制智能家居产品的远程命令,对智能家居的应用实现了劫持。也是智能家居目前存在安全风险的第4点,它将给智能家居产品的使用者带来大的安全风险。所以,对于涉及外网与家庭内网控制指令交互的智能家居产品来讲,保护好这些远程控制的命令尤为重要。
(四)智能家居风险关键问题中远程控制命令的防御
智能家居应用中,用户往往通过手机APP来发送控制请求给云端,由智能家居产品云端确认用户请求后,发送相关远程控制命令给智能产品,从而实现对智能家居产品的控制。这些被发送的远程控制命令实际上就是我们在应用程序中常说的指令。
指令是程序的基本单元,指令系统则是应用程序中的小的功能实现单元。智能家居中的远程控制命令作为智能家居业务应用的核心,在技术上,可实现对远程控制命令的认证加固与管理,这样面对有非法者试图通过劫持指令来控制应用,就可以就行彻底防御,保障智能家居使用者的信息安全。
对远程控制指令实施加固是基于智能家居应用的防御,只有智能家居系统实施该应用、并遭遇攻击时,才会启动该应用防御,所以指令加固的实现是一种主动防御,与传统的那些为了实现安全防护而投入的众多安全系统与安全设备的被动防御不同,主动防御不会影响智能家居系统的运行效率,还保障了应用的安全。
(五)如何实现智能家居产品安全防御的落实与实施
提高智能家居产品的安全性尤为重要,但也确实需要有一个过程。一方面需要提高智能家居产品企业管理者与设计者的安全意识,尤其是企业管理者的安全意识,让智能产品在开发的过程中,不仅仅关注产品功能和用户体验,而更应该加入安全防御手段,为用户的安全风险考虑。
另外,从用户本身来讲,智能家居产品使用的安全意识也有待提高,很多用户只关注产品的功能和使用的便利性,但不愿意为企业提高产品安全性而增加的费用买单。这样恶性循环,导致厂家与消费者在产品的安全防御上都没有动力,一旦出现安全风险事故,就悔之晚矣。
当然,重要的还是我国相关的信息安全法律法规及智能家居行业管理机构对智能家居产品安全的保驾护航力度,我国去年颁布的《网络安全法》充分体现了政府和人民群众对网络安全的要求。智能家居行业管理机构也应该加强对智能家居企业的沟通与监管,为智能家居使用者的信息安全保障护航。(原标题:智能家居产品为何缺乏安全防御?)