每經記者 蔣佩芳 每經編輯 盧祥勇
在蘋果發布HomePod智能音箱後,一夜之間,人類似乎進入了智能時代。大科技公司似乎都準備將語音作為人機互動的下一個主流方式,此前,亞馬遜Echo已經實現了用語音網上購物。
除了智能音箱,如今很多人家裡都裝有智能家居產品,小到智能門鈴,大到智能冰箱等,似乎在印證一個觀點:家裡,即下一個戰場。但,這些智能產品安全嗎?《每日經濟新聞》記者多方採訪發現,這些產品的安全問題真實存在,大多數企業在推出產品的同時並沒有對應地解決安全問題。在智能時代,以前只在好萊塢電影中看到的智能犯罪極可能在我們的生活中出現。
●音箱安全問題並未解決
上月,蘋果公司發布了一款被名為HomePod的智能音箱,這是一款具有人工智慧(AI)的音箱,除了音樂播放功能以外,HomePod通過內置的智能語音助手Siri來實現語音方式的人機智能交互,回答用戶提出的相關問題或完成某些特定任務等。
此前,包括谷歌(Google Home)、亞馬遜(Echo)、微軟(Invoke)等巨頭,都已經有具體的智能音箱產品問世,比如亞馬遜Echo是智能音箱領域的第一個產品,除了語音點歌,Echo還可以為用戶提供叫Uber、訂購披薩甚至操作銀行帳戶等服務。
市場研究機構Strategy Analytics的報告顯示,2016年亞馬遜Echo音箱出貨量超過500萬台。該機構預計,到2022年,北美三分之一的家庭會配備智能音箱。表面上這是一場圍繞智能音箱的「卡位戰」,但從更深層角度看,科技公司只是藉此進入家居場景,目標是切入未來更大的人工智慧市場,因為硬體背後的語音平台,有機會成為物聯網時代的「作業系統」,連接全新的產業生態。
無論是智能音箱還是各種智能助理,其工作原理基本一致,它們在接受到特定的語音信息後,把你的聲音信息發送到伺服器上,再給予用戶回應。於是這就產生了一個問題,但萬一開發廠商的系統被攻擊泄密了呢?在上月蘋果全球開發者大會上,蘋果營銷高級副總裁菲爾·席勒只是明確,HomePod的數據將會被加密,並未給出更詳盡的安全方案。
iDST語音組高級專家鄢志傑指出,就IoT(物聯網)設備上的語音交互產品而言,在個人隱私方面,一般會有多種手段進行保護。首先,設備不會始終將錄製的語音上傳到雲端,而是在用戶明確喚醒設備後,才會產生與雲端的數據交換;其次,設備上應設置明確的「暫停拾音」的功能,將絕對的控制權交給用戶;最後,在雲端數據存儲方面,也要有相應的機制來保障,確保數據「脫敏」。鄢志傑還表示,這絕不僅僅是語音交互產品獨有的問題,更多是一個雲計算大趨勢下共性的問題。
●智能設備面臨三種攻擊
如今,手機已成為人們必備的智能設備之一,支付、鎖屏都使用指紋解鎖,但你想過沒有,它真的安全嗎?
在指紋算法供應商Precise Biometrics北美市場高級總監Mark Cornett看來,指紋會殘留在大量物體的表面,可以利用一系列現有方法(如膠帶拓取、氰基丙烯酸酯煙燻、照相術)在60秒內輕鬆獲取一枚潛指紋。一旦潛指紋被拓取成功並進行數字化,就很容易通過一些日常家用材料來(如明膠、乳膠漆和橡皮泥)製作指紋模具和假指紋。另外,用3D印表機即可列印高清晰的模具。
對於手機支付安全,WiFi萬能鑰匙首席安全官龔蔚表示,「大額支付本身會有二次認證,目前假指紋技術也只是在現於一些專業安全技術研究的團隊,並不是普通的人可以模擬的,所以大家還是完全可以放心使用的。但隨著指紋作為更多的身份認證的主要方式,他的安全性一定會被越來越多的重視,日後你可能不會再想起自己的密碼是否簡單,而會去關心自己的指紋有沒有被泄露。」
根據龔蔚的說法,未來智能設備可能會更多泄露我們的隱私。「在地下產業裡面,有很多攝像頭可以免費觀看各式各樣的別人的生活,文藝青年以及單身青年主題都可以找到,但如果你要看到直播的這個房間,有時候會充錢。」
龔蔚指出,未來智能設備可能發生的安全隱患只要有三個方面。
首先是來自智能設備和智能攻擊。家裡的智能攝像頭、智能門鈴或者智能電燈泡,都可以成為幕後黑客控制的傀儡,發起大規模的攻擊。
其次,基於大數據的挖掘攻擊。利用大數據提供的設備認證,它可以辨別這是你的手機,以及通過GPS位置等形式來「鎖定」一個人。未來甚至手機來電也可能會被模仿。
再次,類似敲詐類的攻擊。這種攻擊未來也會越來越普及,不像以前簡單的木馬形式,類似敲詐勒索的軟體,未來可以向智能設備轉移。
●智能鎖靠不靠譜
隨著共享單車的普及,智能鎖也被廣泛熟知。中國智能家居產業聯盟秘書長周軍曾對外透露,2016年中國智能鎖的出貨量已經達到了300萬把,產值在30億~50億元之間。在一個縣城,一家做智能鎖的企業半天就賣出了170把智能鎖,「全部都是1500-2000元的鎖,你還能說用戶沒有消費能力?」
記者發現,在大型電商平台的搜索框裡鍵入智能門鎖,就有包括三星、松下、羅曼斯、海爾等各種品牌,價格少輒幾百元,動輒上萬元。很多智能門鎖標榜自己特別「黑科技」,功能不僅僅只是密碼那麼簡單,更有活體指紋解鎖等。
儘管智能門鎖市場十分火爆,但這些智能門鎖真的可以防住外來侵入者嗎?龔蔚表示,「我們技術分析看了一些智能門鎖設備,應該說他們只是考慮了滿足用戶功能上的需求,根本沒有實力也沒有能力去考慮安全。」
從事大數據方面的專業人士也向記者指出,在沒有曝出安全事件的時候,大家可能都會覺得這樣的產品非常好,而一旦發生安全事件,那麼這些產品很快將面臨信任危機。
龔蔚建議,使用這些智能設備的時候一定要閱讀說明書,特別是提供連接的部分,如有設備提供開啟識別身份的模式,尤其是藍牙模式就開啟信任自己的設備,不要設置全部都信任,需要初始化設置密碼的時候,也不要因為是自己居家使用的設備就疏忽而設了一個簡單的密碼。
龔蔚還強調,智能固然很好,但是智能也就意味著具有更高的開放性,而目前家電行業針對智能設備的安全規範或安全標準還沒有出台,所以根本不知道廠家是否將安全作為一個很重要的用戶需求。基於這種市場現狀,建議儘量選擇一些大品牌的產品,起碼這些廠家相對的會更多的考慮安全這個問題。
記者觀察
越智能可能就越危險
每經記者 蔣佩芳 每經編輯 盧祥勇
在PC時代,人們對網絡更多是娛樂方面的需求;到了移動時代需求增加,包括了在線購物和移動支付等,人們會意識到手機不能丟;而到了智能時代,技術在帶來無限便利的同時,也以新的方式威脅著人們的安全。
技術進步是雙刃劍
在PC時代,為了保證安全,所有系統能做的就是提醒用戶不要用簡單的密碼或者定時修改密碼。早前在登錄管理服務商Keeper Security分析的1000萬個泄露密碼中,登錄密碼「123456」就占了17%。不難看出,相對於安全,多數人依然更看重密碼的方便性。
在WiFi萬能鑰匙首席安全官龔蔚看來,沒有密碼是就最好的密碼,目前有很多技術團隊嘗試著取消現有的固定密碼這種機制。在無密碼時代到來前,部分服務提供商可以使用一次一密的機制,或者引入除密碼外的多樣的身份鑑別方法。
在智能時代,傳統上的數字和字母密碼被語音、指紋、人臉識別等新的識別系統所代替,但這並不是絕對安全。比如聲音購物,假如一個人的聲音特徵被破譯,不僅可能被「網上購物」,如果家裡使用了聲音控制的智能系統,還可能成為進入你家門的鑰匙。而人臉識別的安全風險也同樣存在,在今年的315晚會中,現場合成的視頻就通過了活體檢測和人臉驗證。根據阿里雲數字記憶方向負責人三湘的說法,人臉識別最大風險是用照片或者動態視頻可以冒充,而任何識別算法都存在一定的誤識別率,儘管很低,但誰家都不能保證沒有誤識。
如何才能提高人臉識別的安全性?阿里雲人工智慧研究機構iDST副院長、IEEE院士華先勝博士則向記者指出,需要加強對事物與螢幕拍攝差異的識別,以及合成/改造圖像視頻的識別(一般稱為image foresics)的能力。
毋庸置疑,技術進步是一把雙刃劍——在給人們帶來無限便利的同時,也以新的方式威脅著人們的安全。
國家網際網路應急中心運行部主任嚴寒冰也曾對外表示,隨著智能可穿戴設備、智能家居等終端設備的普及,針對物聯網智能設備的網絡攻擊增多。攻擊者利用漏洞可獲取設備控制權限,或用於用戶信息數據竊取,或用於被控制形成大規模殭屍網絡,危害很大。他還稱,很多智能設備本身的防護能力比較薄弱,未來針對該類智能終端的攻擊將更為頻繁。
智慧型手機成「泄密之王」
事實上,個人的信息被暴露是有軌跡可循的。
龔蔚指出,早期比如說中毒或者中木馬,本地的記錄沒了。個人相應的一些記錄,保存的東西信息可能就泄露出去。在早些年發生的信息泄露事件中,用戶軌跡被泄露後出現了很多「人肉」事件。「比如說我可以用一個帳號判斷你在多少網站註冊過,可以了解你的愛好範圍,你對新聞類感興趣,還是歷史類,然後可能有大量的地下產業會用你的密碼信息。有些網站你覺得不太重要,從來不登陸,但在早期註冊網站的時候,會包括找回密碼的一部分,比如說我的愛人叫什麼,寵物叫什麼的,這些信息都會暴露。」
然而,信息泄露的渠道正在發生變化:從早期郵件內的信息泄密,到現今越來越多的手機隱私泄露。
今年4月,國家質檢總局曾發布風險警示,提醒注意智慧型手機信息安全問題。他們從市場上採集了40批次智慧型手機樣品,發現18批次樣品存在質量安全隱患,可能導致信息泄露。
據介紹,上述樣品中,12批次樣品後端信息系統存在信息安全漏洞,包括未限制用戶密碼複雜度、未限制非法登錄次數、未限制簡訊驗證碼錯誤使用次數等。9批次樣品中的預置應用軟體未向用戶明示且未經用戶同意,擅自收集用戶數據。1批次樣品未實現對用戶數據的操作權限控制功能。1批次樣品作業系統的更新未向用戶明示且未經用戶同意,擅自自動升級。上述問題可能導致用戶隱私數據泄露甚至智慧型手機被惡意控制。
國家質檢總局提醒,在手機首次開機或者恢復出廠設置後,應點擊打開智慧型手機除撥號、聯繫人、相機等系統核心應用以外的預置應用,看這些預置應用是否有收集用戶隱私的提示,在權限管理菜單中觀察這些預置應用申請的權限情況和可否卸載情況。若這些預置應用有收集敏感隱私信息權限申請,打開時卻無相關的提示信息,該手機就可能存在收集消費者隱私信息的安全問題。
「數據泄露主要的原因是人們日常生活數據化的程度越來越高,比如以前通訊錄我們用筆、本子記,現在大家都用手機裡面的通訊錄,同時數據從本地化往網絡化發展,比如我們以前本地保存照片,現在開始網絡相冊存儲,這一系列的變化導致一旦有安全隱患,就會有數據泄露風險。」龔蔚進一步表示。