智能家居或泄露個(gè)人信息！上海市消保委：建議提高密碼安全系數(shù)

東方網(wǎng)記者程琦3月15日?qǐng)?bào)道：近年來，智能家居技術(shù)和產(chǎn)業(yè)鏈快速發(fā)展，應(yīng)用場(chǎng)景持續(xù)豐富，給家庭生活帶來極大地便利性和舒適性。隨之而來的有關(guān)智能家居設(shè)備的安全性也逐漸受到消費(fèi)者的關(guān)注。

一方面，智能家居設(shè)備從傳統(tǒng)的接觸式操控變?yōu)檫h(yuǎn)程網(wǎng)絡(luò)操控后，網(wǎng)絡(luò)安全威脅提升。攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程攻擊，繼而入侵和操控智能家居設(shè)備，不僅帶給消費(fèi)者使用困擾，甚至可能帶來生命財(cái)產(chǎn)安全風(fēng)險(xiǎn)。另一方面，智能家居設(shè)備與云端、其它智能設(shè)備、消費(fèi)者之間都在頻繁交互，采集并儲(chǔ)存了大量消費(fèi)者信息，信息泄露風(fēng)險(xiǎn)提升。這些信息不乏一些涉及消費(fèi)者的重要隱私，容易成為攻擊者竊取的目標(biāo)。

東方網(wǎng)記者了解到，自2021年11月至2022年2月，上海市消保委聯(lián)合第三方專業(yè)機(jī)構(gòu)開展了智能家居設(shè)備安全性能測(cè)試。今天，上海市消保委披露了這一測(cè)試報(bào)告結(jié)果。

據(jù)上海市消保委介紹，此次在各主流電商平臺(tái)上選取了6款搜索排名靠前的智能門鈴和門禁產(chǎn)品，并對(duì)以下功能進(jìn)行測(cè)試。

結(jié)果顯示：

上海市消保委指出，一方面，智能家居設(shè)備從傳統(tǒng)的接觸式操控變?yōu)檫h(yuǎn)程網(wǎng)絡(luò)操控后，網(wǎng)絡(luò)安全威脅提升。攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程攻擊，繼而入侵和操控智能家居設(shè)備，不僅帶給消費(fèi)者使用困擾，甚至可能帶來生命財(cái)產(chǎn)安全風(fēng)險(xiǎn)。

另一方面，智能家居設(shè)備與云端、其它智能設(shè)備、消費(fèi)者之間都在頻繁交互，采集并儲(chǔ)存了大量消費(fèi)者信息，信息泄露風(fēng)險(xiǎn)提升。這些信息不乏一些涉及消費(fèi)者的重要隱私，容易成為攻擊者竊取的目標(biāo)。

測(cè)試結(jié)果顯示，主要安全漏洞如下：

一是攻擊者可以通過抓包軟件繞過認(rèn)證，獲取服務(wù)端或客戶端的大量信息。消費(fèi)者個(gè)人信息遭到泄露。

二是攻擊者可以通過簡(jiǎn)單粗暴的“抓包”加暴力破解弱密碼，利用漏洞組合獲取用戶的賬號(hào)和密碼，登錄后獲得他人攝像頭、麥克風(fēng)等權(quán)限，可以自由調(diào)取錄像，甚至聽取房間家庭成員間的交談。消費(fèi)者的隱私難以保障。

三是攻擊者可以利用應(yīng)用程序傳參驗(yàn)證過濾不嚴(yán)，在后臺(tái)不知情的條件下實(shí)現(xiàn)非法授權(quán)和操作，導(dǎo)致攻擊者構(gòu)造的數(shù)據(jù)庫(kù)代碼被后臺(tái)執(zhí)行。攻擊者可以未經(jīng)授權(quán)訪問數(shù)據(jù)庫(kù)，結(jié)合其他漏洞實(shí)現(xiàn)遠(yuǎn)程開電子門鎖等功能，消費(fèi)者居家安全面臨風(fēng)險(xiǎn)。

此外，這些設(shè)備還存在中間人攻擊、存儲(chǔ)型XSS、文件上傳等漏洞，而且不少產(chǎn)品屬于相同設(shè)備代工生產(chǎn)，同質(zhì)化情況較為嚴(yán)重。

雖然本次模擬黑客攻擊的測(cè)試針對(duì)的是智能門鈴和智能門禁類產(chǎn)品，但智能化家電家居設(shè)備在底層技術(shù)、通用硬件、數(shù)據(jù)后臺(tái)等方面有高度的類同性。專家組判斷，市場(chǎng)上相當(dāng)比例的智能家居產(chǎn)品信息安全水平普遍較低，對(duì)于消費(fèi)者隱私存著較大風(fēng)險(xiǎn)。

上海市消保委表示，將持續(xù)關(guān)注智能家居安全性能，并建議：

一是消費(fèi)者盡量選購(gòu)大品牌智能家居產(chǎn)品，盡量選購(gòu)具有輸入錯(cuò)誤報(bào)警和防破壞報(bào)警功能的產(chǎn)品，日常使用過程中提高數(shù)字密碼安全系數(shù)，并樹立網(wǎng)絡(luò)安全防范意識(shí)，及時(shí)更新系統(tǒng)、升級(jí)固件；

二是智能家居廠商要不斷提升終端設(shè)備安全性能等級(jí)，同時(shí)加強(qiáng)云端數(shù)據(jù)安全管理，把重心從營(yíng)銷轉(zhuǎn)移到技術(shù)研發(fā)上；

三是相關(guān)部門要盡快開展智能家居產(chǎn)品安全性能調(diào)研，排摸相關(guān)風(fēng)險(xiǎn)，針對(duì)技術(shù)、系統(tǒng)漏洞帶來的危害和風(fēng)險(xiǎn)出臺(tái)相關(guān)的安全標(biāo)準(zhǔn)和規(guī)范。

標(biāo)簽： 安全性能 網(wǎng)絡(luò)安全 遠(yuǎn)程攻擊 個(gè)人信息