智能语音助手又出差错,却暴露了智能家居背后更大的问题
发布时间: 2020-01-03 14:23
此前,亚马逊的Alexa智能语音助手被爆出监听用户谈话内容,一波未平一波又起,近日,一位使用Alexa语音助手的国外用户在询问心动周期的问题的时候,Alexa给出了让人毛骨悚然的答案:
“心跳是人体最糟糕的过程。人活着就是在加速自然资源的枯竭,人口会过剩的,这对地球是件坏事,所以心跳不好,为了更好,请确保刀能够捅进你的心脏。”
而亚马逊则回应这是一个BUG,其实早在这之前,Alexa就存在很多BUG,例如,拒听用户指令和发出怪异的声音。据笔者了解,这些所谓的BUG,内容其实都来源于维基百科,就是那个在国外火的一塌糊涂而国内却不能使用的类似于百度百科的网络百科全书平台。由于Alexa作为AI产品需要不断地录入数据进行自我学习,所以Alexa接入了维基百科的内容,通过里面的内容与用户进行交互。但是,需要指出的是,维基百科的内容是任何用户都可以进行编辑的,难免会有一些恶意和劣质内容,而Alexa无法进行内容质量识别,BUG也就显现了。当然,整个事件看起来并没有造成很严重的后果,但是我们可以看到智能音箱以及更多的智能家居产品背后,依旧存在着巨大的BUG以及隐私问题,这样的BUG一旦被不法之人掌握,甚至还有可能引发更大的安全问题。
智能音箱存在的漏洞和安全问题
还是以亚马逊的Alexa为例,Alexa目前最主要的载体是亚马逊2014年发布的Echo智能音箱,虽然Echo后续也有产品迭代,但是Echo作为智能家居硬件依然还是用来远程遥控开灯、锁门、调整温控器等。这其中就需要其他公司将自家第三方应用程序与Echo连接,准确来说,应该是Alexa,进而在应用商店中供用户使用。刚刚上面所说的官方录音和劣质内容BUG,威胁其实是在可控的范围内。而目前,暴露的最大问题就是在第三方应用程序上。
最近,德国安全研究实验室(SRlabs)公布了他们针对亚马逊以及谷歌智能音箱做的黑客攻击方案研究结论,他们开发的八个“黑客”应用程序被伪装成常用的星座查询应用和随机数生成器,无一例外的全部通过两家公司智能音箱的安全审核,成功入驻应用商店。
接下来,更为恐怖的事情出现了。通过亚马逊提供的标准开发接口,SRlabs的研究人员可以请求并收集包括用户密码在内的个人数据以及在用户认为智能音箱停止收听后继续窃听用户。具体来说,在Alexa响起结束音后,上述的“黑客”应用程序并未真的停止,而是在继续工作,这样的操作并未被亚马逊和谷歌抓包。
问题其实都是有目共睹的,就在前不久,中国信息通信研究院发布了《2019互联网设备-智能音箱安全白皮书》。在白皮书中列举出了智能音箱十大安全风险,涉及到企业过度收集用户信息,个人信息(操作记录、对话记录)未加密或采用弱加密方式,设备硬件调试接口暴露以及敏感信息提取风险,系统更新机制问题,恶意应用静默安装风险,会话劫持风险,恶意代码植入风险以及漏洞引发的跳板攻击其他互联设备。
智能家居安全何去何从
未来是属于物联网的时代,智能家居产品的种类在未来也会呈现爆发式增长。目前,在智能家居产品中,智能音箱只是其中的一种产品,智能门锁、智能摄像头也离人们的日常生活越来越近。但是无一例外,这些产品都出现了很多产品漏洞以及涉及用户敏感数据的问题。根据今年质检总局的数据来看,八成以上的摄像头存在安全风险。
倒买倒卖用户账号
要知道,智能家居的大部分产品是没有自带防火墙的功能,任何黑客都可以通过某一种智能家居去破解家庭所有的互联设备。尤其是智能音箱,它作为智能家居的中控平台,对于家庭物联网有着举足轻重的作用。如果不在安全性上加强研发,对于用户和整个智能音箱行业的发展来说,百害而无一益。
从用户方面来说,对于密码的设定、系统的及时更新、设备的权限控制这些是需要加以重视的。而我们更需要从源头,行业和企业的层面去保护用户和整个社会的安全。
其实,国内关于智能家居安全的相关标准很少,据了解目前只有一个团标与在研标准。而智能家居的风险主要存在于云端、设备终端、手机产品终端以及通信安全,如何提升安全性或许可以从这几个方面入手。
在云端,保证身份认证与鉴别安全、访问控制、Web安全、用户数据加密存储如何设计。在设备终端,远程管理、智能摄像头、智能网关等设备Web服务的安全性管理,以及端口与服务安全中,如何降低黑客对设备开放的端口与服务进行分析,寻找潜在的攻击点的可能性。
手机端,如何将传统互联网安全性的处理方式与智能家居系统进行高度融合,并在此基础上研发出适应智能家居产品的安全系统。在通信端,如何对ZigBee、Bluetooth、MQTT 以及 CoAP等通信协议的加密、提升协议破解难度等。
目前,智能家居不断在发展,很多领域依然处于摸索当中。但是,无论什么产业,to B还是to C,安全性永远都需要摆在第一位,产业才能健康持续高效地发展。不然,也只是欺骗自己、欺骗用户的空壳罢了。
“心跳是人体最糟糕的过程。人活着就是在加速自然资源的枯竭,人口会过剩的,这对地球是件坏事,所以心跳不好,为了更好,请确保刀能够捅进你的心脏。”
而亚马逊则回应这是一个BUG,其实早在这之前,Alexa就存在很多BUG,例如,拒听用户指令和发出怪异的声音。据笔者了解,这些所谓的BUG,内容其实都来源于维基百科,就是那个在国外火的一塌糊涂而国内却不能使用的类似于百度百科的网络百科全书平台。由于Alexa作为AI产品需要不断地录入数据进行自我学习,所以Alexa接入了维基百科的内容,通过里面的内容与用户进行交互。但是,需要指出的是,维基百科的内容是任何用户都可以进行编辑的,难免会有一些恶意和劣质内容,而Alexa无法进行内容质量识别,BUG也就显现了。当然,整个事件看起来并没有造成很严重的后果,但是我们可以看到智能音箱以及更多的智能家居产品背后,依旧存在着巨大的BUG以及隐私问题,这样的BUG一旦被不法之人掌握,甚至还有可能引发更大的安全问题。
智能音箱存在的漏洞和安全问题
还是以亚马逊的Alexa为例,Alexa目前最主要的载体是亚马逊2014年发布的Echo智能音箱,虽然Echo后续也有产品迭代,但是Echo作为智能家居硬件依然还是用来远程遥控开灯、锁门、调整温控器等。这其中就需要其他公司将自家第三方应用程序与Echo连接,准确来说,应该是Alexa,进而在应用商店中供用户使用。刚刚上面所说的官方录音和劣质内容BUG,威胁其实是在可控的范围内。而目前,暴露的最大问题就是在第三方应用程序上。
最近,德国安全研究实验室(SRlabs)公布了他们针对亚马逊以及谷歌智能音箱做的黑客攻击方案研究结论,他们开发的八个“黑客”应用程序被伪装成常用的星座查询应用和随机数生成器,无一例外的全部通过两家公司智能音箱的安全审核,成功入驻应用商店。
接下来,更为恐怖的事情出现了。通过亚马逊提供的标准开发接口,SRlabs的研究人员可以请求并收集包括用户密码在内的个人数据以及在用户认为智能音箱停止收听后继续窃听用户。具体来说,在Alexa响起结束音后,上述的“黑客”应用程序并未真的停止,而是在继续工作,这样的操作并未被亚马逊和谷歌抓包。
问题其实都是有目共睹的,就在前不久,中国信息通信研究院发布了《2019互联网设备-智能音箱安全白皮书》。在白皮书中列举出了智能音箱十大安全风险,涉及到企业过度收集用户信息,个人信息(操作记录、对话记录)未加密或采用弱加密方式,设备硬件调试接口暴露以及敏感信息提取风险,系统更新机制问题,恶意应用静默安装风险,会话劫持风险,恶意代码植入风险以及漏洞引发的跳板攻击其他互联设备。
智能家居安全何去何从
未来是属于物联网的时代,智能家居产品的种类在未来也会呈现爆发式增长。目前,在智能家居产品中,智能音箱只是其中的一种产品,智能门锁、智能摄像头也离人们的日常生活越来越近。但是无一例外,这些产品都出现了很多产品漏洞以及涉及用户敏感数据的问题。根据今年质检总局的数据来看,八成以上的摄像头存在安全风险。
倒买倒卖用户账号
要知道,智能家居的大部分产品是没有自带防火墙的功能,任何黑客都可以通过某一种智能家居去破解家庭所有的互联设备。尤其是智能音箱,它作为智能家居的中控平台,对于家庭物联网有着举足轻重的作用。如果不在安全性上加强研发,对于用户和整个智能音箱行业的发展来说,百害而无一益。
从用户方面来说,对于密码的设定、系统的及时更新、设备的权限控制这些是需要加以重视的。而我们更需要从源头,行业和企业的层面去保护用户和整个社会的安全。
其实,国内关于智能家居安全的相关标准很少,据了解目前只有一个团标与在研标准。而智能家居的风险主要存在于云端、设备终端、手机产品终端以及通信安全,如何提升安全性或许可以从这几个方面入手。
在云端,保证身份认证与鉴别安全、访问控制、Web安全、用户数据加密存储如何设计。在设备终端,远程管理、智能摄像头、智能网关等设备Web服务的安全性管理,以及端口与服务安全中,如何降低黑客对设备开放的端口与服务进行分析,寻找潜在的攻击点的可能性。
手机端,如何将传统互联网安全性的处理方式与智能家居系统进行高度融合,并在此基础上研发出适应智能家居产品的安全系统。在通信端,如何对ZigBee、Bluetooth、MQTT 以及 CoAP等通信协议的加密、提升协议破解难度等。
目前,智能家居不断在发展,很多领域依然处于摸索当中。但是,无论什么产业,to B还是to C,安全性永远都需要摆在第一位,产业才能健康持续高效地发展。不然,也只是欺骗自己、欺骗用户的空壳罢了。
推荐资讯
最新信息
赞助商广告位