智能音箱存安全隐患,生产者使用者同堵漏洞

2022-03-17 10:23:56 来源:中国电子报、电子信息产业网

打印 放大 缩小

近年来,智能音箱等智能家居产品逐渐走入千家万户,为人们的居家生活增添了便利和乐趣。IDC发布的《中国智能音箱零售市场月度追踪》报告显示,2021年中国智能音箱市场销量为3654万台,同比增长20.1%,预计2022年市场销量将达到3725万台。

智能音箱正在向有屏、无屏音箱持续分化:一种是在传统智能音箱上进一步升级,通过增加屏幕、摄像头逐渐向家用平板、智慧屏靠近。另一种则是进一步轻量化、无线化和模块化,主要定位智能家居的智能音频控制、交互入口,未来智能音箱将继续渗透,嵌入到更多家居、家电内。随着智能音箱功能逐渐多元化,信息技术手段愈发复杂,其安全风险也渐渐浮出水面。

智能音箱安全风险不容小觑

智能音箱安全风险主要分为以下两个方面。

一是因为智能音箱所集成的功能多样化,交互接口数量增长,可能被攻击的入口逐渐增多,安全风险不断扩大。2019年,Google Home被攻破,攻击者可以通过远程指令操控目标设备。如果事件一旦升级,可能导致数百万用户个人信息泄露,轻则导致用户遭受诈骗、资金被盗用,重则导致用户的人身安全受到威胁,影响社会稳定。

二是智能音箱产品定位及个性化功能产生的需求,导致其收集了大量用户隐私信息及交互数据,由此可能产生违规收集用户个人数据的安全隐患。2019年,有媒体披露亚马逊雇佣数千员工监听旗下智能音箱Amazon Echo用户的日常录音,甚至将1700余用户的语音数据违规泄露,导致用户在不知不觉间受到了电商骚扰、电信诈骗等一系列影响。

中国软件评测中心选取了市面畅销的多台有屏智能音箱和无屏智能音箱,从网络安全、数据安全和个人信息安全等多个角度进行测评。

1.智能音箱网络安全与数据安全

智能音箱APP安全。测评专家测试了智能音箱APP安全方面,包括组件安全检测、Manifest文件检测、Webview安全检测、网络通信安全检测、弱加密风险检测、数据安全检测、系统漏洞检测、so文件风险检测、隐私权限检测、隐私行为检测等测试项。在测试过程中,专家通过对.apk文件进行反编译,采用自动化扫描与人工渗透相结合的技术手段以发现其存在的安全问题。

经测评,测评范围内的智能音箱APP均未检测出严重漏洞,能够有效避免用户信息泄露。

智能音箱通信数据传输安全。测评专家在智能音箱系统与服务器端的通信过程中,动态采集传输的网络数据。针对智能音箱联网通信和连接维护全过程的加密算法方面,使用Wireshark工具和人工审计的方式,进行了安全分析和评估。

经测评,某智能音箱设备在与服务器端进行通信过程中,存在日志文件明文传输,导致用户敏感信息泄露等问题。传输的日志中包含设备信息、日志信息和语音转换出的文本信息,造成了信息泄露。智能音箱系统与固件升级安全。测评专家首先对智能音箱系统与固件做了降级风险测试,发现大部分设备采取了“升级检测”和“固件签名”的措施,锁定了串口和USB接口,用户无法自行降级,保护了智能音箱的安全。其次,专家对智能音箱固件更新请求通信过程进行了分析,通过分析更新请求数据包,发现部分设备通过HTTP协议明文传输固件升级请求。从数据包中可以获取固件下载地址,引发固件泄露风险。同时,使用不安全的通信协议可能面临中间人攻击的风险。

经测评,部分智能音箱固件升级通信过程存在URL暴露风险,可能发生固件泄露事件。

2.智能音箱用户个人信息安全

个人信息收集使用规则。为了给用户提供更加精准的定制化服务,智能音箱会收集用户的个人信息,包括位置信息、通信录信息、音视频信息等敏感数据。中国软件评测中心对多款音箱的个人信息收集使用规则进行了合规性检测。

在对个人信息收集使用规则进行检测的过程中,测评专家主要对各智能音箱产品的隐私政策进行了详细解读,并对其中存在的一些疑问与企业进行了访谈。参与测评的智能音响产品都拥有完整的个人信息保护政策,并且能够在实际应用中付诸实践。

但智能音箱在收集使用个人信息的过程中,仍存在过度收集用户个人信息的情况。例如,在进入智能音箱APP之后,会自动收集用户语音数据用于模型训练,但未对用户进行明显提示。部分产品的隐私声明未对个人信息的采集频率以及存储时间进行明确说明。

个人信息主体注销账户。用户对智能音箱存储的个人用户信息应该完全可控,在用户要求进行账户注销或用户数据销毁时,智能音箱、控制端APP或云端服务应向用户提供简单便捷的操作方式,并且在注销过程中不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个功能视同注销主体账号,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。

经过对参与测评的智能音箱产品进行检测,部分智能音箱账户注销及用户数据销毁仍存在难题。当用户注销智能音箱账户时,会将此账户下所有产品及服务注销,使用户管理个人信息增加了诸多不便。

智能音箱生产企业和使用者双管齐下

中国软件评测中心针对以上测评内容,从企业和用户的角度出发为智能音箱安全建设提出以下建议。

1.对智能音箱生产企业的建议

首先,加强产品网络和数据安全合规建设。在网络安全层面,可以从以下三个方面加强产品的安全保障。一是对于智能音箱操作系统的漏洞及时进行修复,加强系统配置安全和端口安全管理;二是对系统固件和移动应用进行安全加固,包括但不限于签名校验、加壳、防内存修改等手段;三是在服务器端和智能音箱APP引入并重视安全测试,定期开展渗透测试和风险评估。

在数据安全层面,应落实《数据安全法》《个人信息保护法》的相关规定,进行数据全生命周期安全防护,做到收集信息应授权、传输存储应加密、加工使用应脱敏、删除数据应彻底、提供公开应合法。

其次,规范对用户个人信息的收集使用规则。产品在收集用户个人信息等方面应不具备强制性,根据功能将用户信息收集模块化,不因某信息用户未授权而拒绝提供服务。

在收集、使用用户个人信息过程中,应对收集信息的内容、方式、范围、目的、频次、精准度等进行详细说明,其中,对于用户敏感信息的收集,应有明显提示;对于个人信息的使用,如是否会向第三方、境外提供数据应进行详细说明;对于个人信息的撤销授权、申请删除、投诉举报的渠道和方法,应提供全面且便于理解的操作说明。

2.对智能音箱用户的建议

首先,关注产品收集使用个人信息规则。关注产品收集和使用个人信息规则,可以从以下两个方面进行:一是关注注册信息,在隐私协议中详细查阅产品收集的内容、目的、频次、精确度等内容,并明确其加工、使用、第三方共享的条款内容,保障自身利益;二是注册并登录后,进入设置或用户授权管理等页面,查看产品授权信息,并依据需求关闭敏感信息的授权。如遇强制收集或违法使用个人信息的情况,应及时向监管部门进行举报。

其次,关注账号信息安全。智能音箱控制端账号通常为多APP、多产品共用。而智能音箱作为智能家居的控制入口之一,具备控制其他设备的功能,其账号一旦泄露或被窃取,登录了其他智能音箱设备,安全风险会通过智能音箱放大,造成更大威胁。账号密码应具备一定复杂度并定期更换,避免与其他账户公用密码,不要点击他人发送的可疑链接。

最后,关注废旧设备个人信息处理。智能音箱设备即便已经丢弃,但存在里面的数据仍有泄露的风险。经测评发现多个品牌智能音箱,在离开主人并接入新的网络环境后,未经验证即可正常控制原账号下绑定的设备,甚至部分有屏音箱,可以直接查看其绑定的摄像头。建议用户在丢弃产品前应退出个人账号、删除设备信息或重置设备,同时选取较为安全的丢弃方式,如选择可靠的废旧电子设备回收机构。

关键词: 安全隐患

责任编辑:ERM523

精彩推送

有实力有成果,正泰电器智能制造示范工厂很“硬核” 空气炸锅热卖,小家电逆势走红
智能音箱存安全隐患,生产者使用者同堵漏洞 2021年空调市场线上渗透率提升 新功能产品层出不穷
真正发挥“从业禁止”威慑作用 地震发生后,丰田汽车在日本两家工厂停产
20省常住人口数据出炉,卖酒人该关注哪些机会? 斗鱼去年由盈转亏:选择性采买赛事版权不代表对内容投入减少
康师傅:北京地区销售的康师傅老坛酸菜面不是问题酸菜 甘肃印发“十四五”生态环境监测规划
中国石油长庆油田产气量创新高 食品安全没有双重标准
青海持续推动国家公园示范省建设 风机退役高峰即将到来,叶片规模化回收难题亟待解决
电商助力优势叠加 “皮草之都”佟二堡再闯新路 台军打算用信号枪“驱离入侵飞机” 苏贞昌吹嘘台军“从辽东到海南岛都能监控”
电动车“锁电”:逃过315,威马、小鹏等坑惨老司机? 云南专项行动排查网络直播平台和玉石市场
上海昨日新增8例本土确诊病例、150例本土无症状感染者-更新中 未成年游戏账号交易难止 平台提醒形同虚设?
北约秘书长声称中国应谴责俄罗斯 中方回击措辞严厉 太惨!千亿房企阳光城境内境外同时爆雷
福建12315去年为消费者挽回经济损失超3.4亿 700多个市场主体被列入严重违法失信名单
新消费调价潮:星巴克们喝不起,喜茶们变便宜? 电音烤吧、星空帐篷 主题餐厅获取流量密码
新能源汽车买与不买?安全性、品牌力、充电问题影响购车意愿 新能源汽车续航里程“玩猫腻”
父子内斗、车间“恶臭”…双汇11年前“瘦肉精”被挖! 聚焦315|家家都称自己正宗?电商平台上的北京同仁堂难辨真假
外媒又炒所谓“强迫劳动”!匹克赞助德国篮球队引非议,德国篮协回应 裁员风暴和股价暴跌下的互联网人
聚焦315 | “保过班”退费难 中公教育登行业投诉榜首 网络培训乱象调查:有的宣称“包过”,夸大证书含金量
枢密院十号:全球首次!中美隐形战斗机东海交手? EVA价格快速反弹 相关公司业绩有望“开门红”
锂资源暴涨冲击波 新能源车产业链面临三大矛盾 政府引导基金进入“存量优化”阶段
聚焦315 | 赔不起了吗?网红新冠“隔离险”相继下架 两款特效药加入国内抗新冠治疗 哪些药企将受益
快递服务最后一公里 存在三个问题 未成年游戏账号交易难止 闲鱼等平台提醒形同虚设?
“土坑酸菜”曝光后方便面企业股价受挫 餐饮企业暂未受到波及 3万人排队退款 超1600次投诉 网约车鼻祖易到用车怎么了
国家药监局又批准一家新冠抗原自测产品上市 快讯!俄媒:普京签署关于保障俄社会经济稳定和保护俄居民措施的命令
销售净利率创近六年新低,华熙生物董事长赵燕:品牌建设周期导致 突发!董事长黄其森正协助调查,泰禾连夜开媒体沟通会:非企业经营层面问题,泰禾不会资不抵债
旭辉控股:集团营运正常,具备充足的可动用现金储备 宝马:电动化提速 三大品牌2030年将全面电动化
9天培训就能做双眼皮手术?医美速成班“遍地开花” 网友热议:我朋友圈全是干这个的 迅速回应3·15曝光!湖南、广东、安徽等市场监管部门连夜行动严厉打击
宾馆开会“接头”,药房“掩护”出货——有毒有害保健品乱象调查 深房理涉炒房类虚假广告被罚200万元
包括附前提私有化要约 蒙牛正考虑及评估雅士利潜在交易方案 21调查|燕窝玻尿酸“代理陷阱”背后:玻尿酸食品泛滥连宠物都有玻尿酸口粮,真不是智商税?
普京发表讲话称没有占领乌克兰的计划 泰禾集团:董事长黄其森被协助调查后 可以通过适当方式参与企业运营决策
诺唯赞签订超2亿元新冠抗原检测产品合同,预计利好今年业绩 泰禾集团:董事长黄其森正在协助有关机关调查
“土坑酸菜”有多“坑”?酸菜方便面市占率第二,短期销售承压 有敲钟仪式有股票代码,视奕科技“官宣上市”,竟然是假的!
禹州假红薯粉条厂被查封61吨粉条!禹州开展粉条制品质量安全专项整治 上海高端住宅市场回暖 “小阳春”仍在路上
2021年福建省12315为消费者挽回经济损失超3.4亿元 中国医药:新冠病毒治疗药物若纳入国家医保 可能会对销售价格有所影响
三万人排队退款、1600人投诉维权,网约车“鼻祖”易到用车将成下一个ofo? 泰禾集团:公司董事长兼总经理黄其森先生正在协助有关机关调查
“数说”质量认证 保障消费安全 促进消费升级 羊城晚报评论:康师傅的道歉轻如鸿毛
财政部:今年内不具备扩大房地产税改革试点城市的条件 Prada扭亏难喜,与巨头们的差距拉大
“把茅台集团董事长灌醉了给我定价权!”潘长江:根本没说过这句话!茅台集团:宣传不属实! 美国海关扣押李宁公司货物,中方:坚决反对任何形式的长臂管辖和单边制裁
乌江榨菜回应被列为“十大不推荐产品”:检验符合国家标准 聚焦3·15 |中国烹饪协会 对违法、违规原材料供应商零容忍
苏州一女子靠偷渡和伪造证件4年66次到缅北参赌获刑 今年前两个月我国货运指数实现较快增长
生态环境部部署2022年六五环境日宣传工作 讲好中国生态环境保护故事 山西汾酒拟91亿元扩建原酒产储能,预计年增原酒5.1万吨
快讯!俄媒:拉夫罗夫称美国因俄罗斯而极其蛮横无理地向中国等国施压 钧正平发文:豆瓣问题到底出在哪?
山东对国际邮件快件设置静置期 增加内件物品安全性 武汉培育壮大检验检测服务业 积极推进省级以上质检中心建设
聚焦3·15 |红薯粉丝、山药粉丝原为“木薯”造 涉事店铺已关闭 不到30元!新冠抗原自测试剂盒开售!20分钟出结果!记者体验怎么用→
嘉兴南湖重现秀水泱泱 海南车辆从严监管 提高环境准入要求
水利部:加快农村供水工程建设改造 确保2022年底农村自来水普及率达到85% 滨州18个省控及以上断面消除V类水体
美国称“大国不能欺负小国的国际秩序”被破坏,赵立坚:呵 淘宝微信抖音上线算法关闭键 用户可自行关闭个性化推荐
号称四五百公里,实际二三百公里,新能源汽车续航里程严重缩水 需求减弱,2月淡季全国家居建材景气指数小幅下降
云南多举措强化重点湖库水华防控 曝特斯拉上海工厂今起停工两天
江苏:省市联合约谈南京滴滴、T3出行等6家主要出租车企业 中国社科院报告:旅行社行业形象亟待重塑,构建新商业模式
供暖季中国石化保供天然气236亿方 地热能供暖面积增长18% 暗访7个汽车知名品牌仅1家售后服务合格:上汽通用宝骏、凯迪拉克、五菱、上汽大众朗逸等均不合格