每经编辑 每经记者 蒋佩芳 每经编辑 卢祥勇
每经记者 蒋佩芳 每经编辑 卢祥勇
在苹果发布HomePod智能音箱后,一夜之间,人类似乎进入了智能时代。大科技公司似乎都准备将语音作为人机交互的下一个主流方式,此前,亚马逊Echo已经实现了用语音网上购物。
除了智能音箱,如今很多人家里都装有智能家居产品,小到智能门铃,大到智能冰箱等,似乎在印证一个观点:家里,即下一个战场。但,这些智能产品安全吗?《每日经济新闻》记者多方采访发现,这些产品的安全问题真实存在,大多数企业在推出产品的同时并没有对应地解决安全问题。在智能时代,以前只在好莱坞电影中看到的智能犯罪极可能在我们的生活中出现。
●音箱安全问题并未解决
上月,苹果公司发布了一款被名为HomePod的智能音箱,这是一款具有人工智能(AI)的音箱,除了音乐播放功能以外,HomePod通过内置的智能语音助手Siri来实现语音方式的人机智能交互,回答用户提出的相关问题或完成某些特定任务等。
此前,包括谷歌(Google Home)、亚马逊(Echo)、微软(Invoke)等巨头,都已经有具体的智能音箱产品问世,比如亚马逊Echo是智能音箱领域的第一个产品,除了语音点歌,Echo还可以为用户提供叫Uber、订购披萨甚至操作银行账户等服务。
市场研究机构Strategy Analytics的报告显示,2016年亚马逊Echo音箱出货量超过500万台。该机构预计,到2022年,北美三分之一的家庭会配备智能音箱。表面上这是一场围绕智能音箱的“卡位战”,但从更深层角度看,科技公司只是借此进入家居场景,目标是切入未来更大的人工智能市场,因为硬件背后的语音平台,有机会成为物联网时代的“操作系统”,连接全新的产业生态。
无论是智能音箱还是各种智能助理,其工作原理基本一致,它们在接受到特定的语音信息后,把你的声音信息发送到服务器上,再给予用户回应。于是这就产生了一个问题,但万一开发厂商的系统被攻击泄密了呢?在上月苹果全球开发者大会上,苹果营销高级副总裁菲尔·席勒只是明确,HomePod的数据将会被加密,并未给出更详尽的安全方案。
iDST语音组高级专家鄢志杰指出,就IoT(物联网)设备上的语音交互产品而言,在个人隐私方面,一般会有多种手段进行保护。首先,设备不会始终将录制的语音上传到云端,而是在用户明确唤醒设备后,才会产生与云端的数据交换;其次,设备上应设置明确的“暂停拾音”的功能,将绝对的控制权交给用户;最后,在云端数据存储方面,也要有相应的机制来保障,确保数据“脱敏”。鄢志杰还表示,这绝不仅仅是语音交互产品独有的问题,更多是一个云计算大趋势下共性的问题。
●智能设备面临三种攻击
如今,手机已成为人们必备的智能设备之一,支付、锁屏都使用指纹解锁,但你想过没有,它真的安全吗?
在指纹算法供应商Precise Biometrics北美市场高级总监Mark Cornett看来,指纹会残留在大量物体的表面,可以利用一系列现有方法(如胶带拓取、氰基丙烯酸酯烟熏、照相术)在60秒内轻松获取一枚潜指纹。一旦潜指纹被拓取成功并进行数字化,就很容易通过一些日常家用材料来(如明胶、乳胶漆和橡皮泥)制作指纹模具和假指纹。另外,用3D打印机即可打印高清晰的模具。
对于手机支付安全,WiFi万能钥匙首席安全官龚蔚表示,“大额支付本身会有二次认证,目前假指纹技术也只是在现于一些专业安全技术研究的团队,并不是普通的人可以模拟的,所以大家还是完全可以放心使用的。但随着指纹作为更多的身份认证的主要方式,他的安全性一定会被越来越多的重视,日后你可能不会再想起自己的密码是否简单,而会去关心自己的指纹有没有被泄露。”
根据龚蔚的说法,未来智能设备可能会更多泄露我们的隐私。“在地下产业里面,有很多摄像头可以免费观看各式各样的别人的生活,文艺青年以及单身青年主题都可以找到,但如果你要看到直播的这个房间,有时候会充钱。”
龚蔚指出,未来智能设备可能发生的安全隐患只要有三个方面。
首先是来自智能设备和智能攻击。家里的智能摄像头、智能门铃或者智能电灯泡,都可以成为幕后黑客控制的傀儡,发起大规模的攻击。
其次,基于大数据的挖掘攻击。利用大数据提供的设备认证,它可以辨别这是你的手机,以及通过GPS位置等形式来“锁定”一个人。未来甚至手机来电也可能会被模仿。
再次,类似敲诈类的攻击。这种攻击未来也会越来越普及,不像以前简单的木马形式,类似敲诈勒索的软件,未来可以向智能设备转移。
●智能锁靠不靠谱
随着共享单车的普及,智能锁也被广泛熟知。中国智能家居产业联盟秘书长周军曾对外透露,2016年中国智能锁的出货量已经达到了300万把,产值在30亿~50亿元之间。在一个县城,一家做智能锁的企业半天就卖出了170把智能锁,“全部都是1500-2000元的锁,你还能说用户没有消费能力?”
记者发现,在大型电商平台的搜索框里键入智能门锁,就有包括三星、松下、罗曼斯、海尔等各种品牌,价格少辄几百元,动辄上万元。很多智能门锁标榜自己特别“黑科技”,功能不仅仅只是密码那么简单,更有活体指纹解锁等。
尽管智能门锁市场十分火爆,但这些智能门锁真的可以防住外来侵入者吗?龚蔚表示,“我们技术分析看了一些智能门锁设备,应该说他们只是考虑了满足用户功能上的需求,根本没有实力也没有能力去考虑安全。”
从事大数据方面的专业人士也向记者指出,在没有曝出安全事件的时候,大家可能都会觉得这样的产品非常好,而一旦发生安全事件,那么这些产品很快将面临信任危机。
龚蔚建议,使用这些智能设备的时候一定要阅读说明书,特别是提供连接的部分,如有设备提供开启识别身份的模式,尤其是蓝牙模式就开启信任自己的设备,不要设置全部都信任,需要初始化设置密码的时候,也不要因为是自己居家使用的设备就疏忽而设了一个简单的密码。
龚蔚还强调,智能固然很好,但是智能也就意味着具有更高的开放性,而目前家电行业针对智能设备的安全规范或安全标准还没有出台,所以根本不知道厂家是否将安全作为一个很重要的用户需求。基于这种市场现状,建议尽量选择一些大品牌的产品,起码这些厂家相对的会更多的考虑安全这个问题。
记者观察
越智能可能就越危险
每经记者 蒋佩芳 每经编辑 卢祥勇
在PC时代,人们对网络更多是娱乐方面的需求;到了移动时代需求增加,包括了在线购物和移动支付等,人们会意识到手机不能丢;而到了智能时代,技术在带来无限便利的同时,也以新的方式威胁着人们的安全。
技术进步是双刃剑
在PC时代,为了保证安全,所有系统能做的就是提醒用户不要用简单的密码或者定时修改密码。早前在登录管理服务商Keeper Security分析的1000万个泄露密码中,登录密码“123456”就占了17%。不难看出,相对于安全,多数人依然更看重密码的方便性。
在WiFi万能钥匙首席安全官龚蔚看来,没有密码是就最好的密码,目前有很多技术团队尝试着取消现有的固定密码这种机制。在无密码时代到来前,部分服务提供商可以使用一次一密的机制,或者引入除密码外的多样的身份鉴别方法。
在智能时代,传统上的数字和字母密码被语音、指纹、人脸识别等新的识别系统所代替,但这并不是绝对安全。比如声音购物,假如一个人的声音特征被破译,不仅可能被“网上购物”,如果家里使用了声音控制的智能系统,还可能成为进入你家门的钥匙。而人脸识别的安全风险也同样存在,在今年的315晚会中,现场合成的视频就通过了活体检测和人脸验证。根据阿里云数字记忆方向负责人三湘的说法,人脸识别最大风险是用照片或者动态视频可以冒充,而任何识别算法都存在一定的误识别率,尽管很低,但谁家都不能保证没有误识。
如何才能提高人脸识别的安全性?阿里云人工智能研究机构iDST副院长、IEEE院士华先胜博士则向记者指出,需要加强对事物与屏幕拍摄差异的识别,以及合成/改造图像视频的识别(一般称为image foresics)的能力。
毋庸置疑,技术进步是一把双刃剑——在给人们带来无限便利的同时,也以新的方式威胁着人们的安全。
国家互联网应急中心运行部主任严寒冰也曾对外表示,随着智能可穿戴设备、智能家居等终端设备的普及,针对物联网智能设备的网络攻击增多。攻击者利用漏洞可获取设备控制权限,或用于用户信息数据窃取,或用于被控制形成大规模僵尸网络,危害很大。他还称,很多智能设备本身的防护能力比较薄弱,未来针对该类智能终端的攻击将更为频繁。
智能手机成“泄密之王”
事实上,个人的信息被暴露是有轨迹可循的。
龚蔚指出,早期比如说中毒或者中木马,本地的记录没了。个人相应的一些记录,保存的东西信息可能就泄露出去。在早些年发生的信息泄露事件中,用户轨迹被泄露后出现了很多“人肉”事件。“比如说我可以用一个帐号判断你在多少网站注册过,可以了解你的爱好范围,你对新闻类感兴趣,还是历史类,然后可能有大量的地下产业会用你的密码信息。有些网站你觉得不太重要,从来不登陆,但在早期注册网站的时候,会包括找回密码的一部分,比如说我的爱人叫什么,宠物叫什么的,这些信息都会暴露。”
然而,信息泄露的渠道正在发生变化:从早期邮件内的信息泄密,到现今越来越多的手机隐私泄露。
今年4月,国家质检总局曾发布风险警示,提醒注意智能手机信息安全问题。他们从市场上采集了40批次智能手机样品,发现18批次样品存在质量安全隐患,可能导致信息泄露。
据介绍,上述样品中,12批次样品后端信息系统存在信息安全漏洞,包括未限制用户密码复杂度、未限制非法登录次数、未限制短信验证码错误使用次数等。9批次样品中的预置应用软件未向用户明示且未经用户同意,擅自收集用户数据。1批次样品未实现对用户数据的操作权限控制功能。1批次样品操作系统的更新未向用户明示且未经用户同意,擅自自动升级。上述问题可能导致用户隐私数据泄露甚至智能手机被恶意控制。
国家质检总局提醒,在手机首次开机或者恢复出厂设置后,应点击打开智能手机除拨号、联系人、相机等系统核心应用以外的预置应用,看这些预置应用是否有收集用户隐私的提示,在权限管理菜单中观察这些预置应用申请的权限情况和可否卸载情况。若这些预置应用有收集敏感隐私信息权限申请,打开时却无相关的提示信息,该手机就可能存在收集消费者隐私信息的安全问题。
“数据泄露主要的原因是人们日常生活数据化的程度越来越高,比如以前通讯录我们用笔、本子记,现在大家都用手机里面的通讯录,同时数据从本地化往网络化发展,比如我们以前本地保存照片,现在开始网络相册存储,这一系列的变化导致一旦有安全隐患,就会有数据泄露风险。”龚蔚进一步表示。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。