智能家居或泄露個人信息！上海市消保委：建議提高密碼安全系數

東方網記者程琦3月15日報道：近年來，智能家居技術和產業鏈快速發展，應用場景持續豐富，給家庭生活帶來極大地便利性和舒適性。隨之而來的有關智能家居設備的安全性也逐漸受到消費者的關注。

一方面，智能家居設備從傳統的接觸式操控變為遠程網絡操控后，網絡安全威脅提升。攻擊者可以通過網絡遠程攻擊，繼而入侵和操控智能家居設備，不僅帶給消費者使用困擾，甚至可能帶來生命財產安全風險。另一方面，智能家居設備與云端、其它智能設備、消費者之間都在頻繁交互，采集并儲存了大量消費者信息，信息泄露風險提升。這些信息不乏一些涉及消費者的重要隱私，容易成為攻擊者竊取的目標。

東方網記者了解到，自2021年11月至2022年2月，上海市消保委聯合第三方專業機構開展了智能家居設備安全性能測試。今天，上海市消保委披露了這一測試報告結果。

據上海市消保委介紹，此次在各主流電商平臺上選取了6款搜索排名靠前的智能門鈴和門禁產品，并對以下功能進行測試。

結果顯示：

上海市消保委指出，一方面，智能家居設備從傳統的接觸式操控變為遠程網絡操控后，網絡安全威脅提升。攻擊者可以通過網絡遠程攻擊，繼而入侵和操控智能家居設備，不僅帶給消費者使用困擾，甚至可能帶來生命財產安全風險。

另一方面，智能家居設備與云端、其它智能設備、消費者之間都在頻繁交互，采集并儲存了大量消費者信息，信息泄露風險提升。這些信息不乏一些涉及消費者的重要隱私，容易成為攻擊者竊取的目標。

測試結果顯示，主要安全漏洞如下：

一是攻擊者可以通過抓包軟件繞過認證，獲取服務端或客戶端的大量信息。消費者個人信息遭到泄露。

二是攻擊者可以通過簡單粗暴的“抓包”加暴力破解弱密碼，利用漏洞組合獲取用戶的賬號和密碼，登錄后獲得他人攝像頭、麥克風等權限，可以自由調取錄像，甚至聽取房間家庭成員間的交談。消費者的隱私難以保障。

三是攻擊者可以利用應用程序傳參驗證過濾不嚴，在后臺不知情的條件下實現非法授權和操作，導致攻擊者構造的數據庫代碼被后臺執行。攻擊者可以未經授權訪問數據庫，結合其他漏洞實現遠程開電子門鎖等功能，消費者居家安全面臨風險。

此外，這些設備還存在中間人攻擊、存儲型XSS、文件上傳等漏洞，而且不少產品屬于相同設備代工生產，同質化情況較為嚴重。

雖然本次模擬黑客攻擊的測試針對的是智能門鈴和智能門禁類產品，但智能化家電家居設備在底層技術、通用硬件、數據后臺等方面有高度的類同性。專家組判斷，市場上相當比例的智能家居產品信息安全水平普遍較低，對于消費者隱私存著較大風險。

上海市消保委表示，將持續關注智能家居安全性能，并建議：

一是消費者盡量選購大品牌智能家居產品，盡量選購具有輸入錯誤報警和防破壞報警功能的產品，日常使用過程中提高數字密碼安全系數，并樹立網絡安全防范意識，及時更新系統、升級固件；

二是智能家居廠商要不斷提升終端設備安全性能等級，同時加強云端數據安全管理，把重心從營銷轉移到技術研發上；

三是相關部門要盡快開展智能家居產品安全性能調研，排摸相關風險，針對技術、系統漏洞帶來的危害和風險出臺相關的安全標準和規范。

標簽： 安全性能 網絡安全 遠程攻擊 個人信息