智能家居离不开的ZigBee,真的有漏洞吗
哪种无线通信协议最适合智能家居?ZigBee当仁不让。近年来,为了争夺潜力无限的智能家居市场,
围绕各类无线协议标准的争论不断,但不可否认,ZigBee赚足了眼球,颇受关注和信赖。在智能家居领域,相较于蓝牙、WiFi、Z-Wave、射频等技
术协议,ZigBee一直光彩夺目,鲜有负面消息,可谓有口皆碑,深得人心,并被很多人默认为目前最适宜智能家居的协议标准。
而之所以如此,一方面与ZigBee协议本身分不开,另一方面则要感谢一些企业的大力热捧和宣扬。
——技术层面,ZigBee不是为智能家居而生,却为智能家居而长。智能家居设备需要拥有足够的安全性、稳定性、操作流畅性、较强的设备承载能
力和较低的功耗,而ZigBee都能满足,且满足得很到位,因而即便ZigBee最初主要应用于工业领域,如今也丝毫不影响它在智能家居领域的魅力。
——推广层面,不少知名企业纷纷采纳,一些实力公司大力宣扬。如果说村里某些人使用ZigBee协议了,你可能嗤之以鼻,呵呵不语,更谈不上信
赖,但如果说三星、LG、德州仪器、罗技、飞利浦、小米等知名企业都采用了呢?对ZigBee会不会产生好感?不仅如此,一些企业的大力宣传也很关键,如
ZigBee联盟董事会成员、国内较早采用ZigBee的物联网领军企业物联传感在宣传推广方面会着重强调ZigBee的高级加密算法,使其安全性在消费
者心中根深蒂固,为ZigBee树立良好的口碑,从而推动ZigBee在中国区的发展。
所以,无论从哪个角度来看,ZigBee协议都有足够的理由受到智能家居厂商的欢迎。然而,就在ZigBee联盟宣布三星旗下品牌
SmartThings成为继物联传感后又一位董事会成员之后不足一周,黑帽子大会给泼了一盆冷水,拔凉拔凉的冷水:采用 ZigBee
协议的智能家居设备存在严重漏洞。
话说安全研究人员(Cognosec公司)发现,采用ZigBee协议的设备存在严重漏洞,有多严重呢?黑客有可能入侵智能家居,随意操控联网
门锁、报警系统,甚至能够开关灯泡。按以往的新闻来看,这种事应该发生在WiFi、蓝牙或Z-Wave身上,ZigBee怎么就中招了呢?这其中有
Cognosec公司和“小编”(原文作者)的功劳。
——黑帽子大会(Black Hat
Conference)被公认为世界信息安全行业的最高盛会和最具技术性的信息安全会议,每年都会有不少专业团队和民间高手参加。他们可以尽情地黑一切科
技产品,无需手下留情,当然目的还是为了技术交流和提高企业产品的安全性。而Cognosec公司在这次大会上发表了论文,指出 ZigBee
协议实施方法中的一个缺陷。该公司称,该缺陷涉及多种类型的设备,黑客有可能以此危害 ZigBee 网络,并“接管该网络内所有互联设备的控制权”。
——若是Cognosec公司倒也不会如此,军功章还有那篇文章作者的一大半,尤其是题目取的非常妙——《黑帽大会爆料,采用 ZigBee
协议的智能家居设备存在严重漏洞》(具体内容请自行百度脑补),读者看不看内容没有关系,只要看一眼标题就明白了:ZigBee智能家居设备存在严重漏
洞。
ZigBee协议智能家居设备存在严重漏洞,看样子ZigBee协议是难逃一劫了,但这种想法是“懒人”的想法,充分证明“标题党”的胜利。向来较为可靠的ZigBee怎么存在严重问题呢?只看标题不行,关键还要仔细看内容。
显而易见,标题就是会让我们快速联想到ZigBee协议有问题的,但实际完全没有ZigBee协议太多啥事儿。这点原文作者和Cognosec公司实际上都在最后给出了说明。
“该漏洞的根源更多被指向制造商生产方便易用、能与其它联网设备无缝协作的设备、同时又要压低成本的压力,而不是 ZigBee 协议标准本身的设计问题。”——这是作者的分析。
“我们在 ZigBee
中发现的短板和局限是由制造商造成的,各家公司都想制造最新最棒的产品,眼下也就意味着能够联网。灯泡开关这样的简单元件必须和其它各种设备兼容,毫不意
外的是,很少会考虑安全要求——更多的心思都放在如何降低成本上。不幸的是,在无线通信标准中最后一层安全隐患的严重程度非常高。”——这是
Cognosec公司研究人员的汉化版原话。
其实,不难发现,向来可靠的智能家居协议ZigBee,并没有给黑帽子黑掉,而是被一些急功近利的制造商“坑掉了”。那么现在问题又来了,除却人为不作为因素(故意忽略标准安全性),ZigBee协议被攻破的几率有多大呢?
“在zigbee的通用安全级别中,一般有两个key
。一个是信任中心的key。另一个是实际进行网络传输数据时的网络key。最终想破解zigbee 网络,必须要获取后者16个字节强密码网络key
。由于zigbee 采取的是AES 128加密算法。在不知道这个网络key的情况下,想暴力破解目前没有可能。也没有破解先例。
暴力破解的速度是极其低下的。一般只有300key / s,就算采取所谓的GPU加速,速度也不过是10000 key / s,对于一个8位数字 字母 字符的复杂密码破解时间都需要2900年!即使采用100台分布式,也需要29年!
何况zigbee 的key 是16个字节强密码。”
上面是一名来自对ZigBee协议安全性拥有足够信心的物联传感的物联网安全专家给出的答案。不要问为什么是这样排的,原采访邮件中的内容就是
这样的,不过足可以说明只要前期工夫做的好,黑客想破解ZigBee智能家居设备,难!至于“采用 ZigBee
协议的智能家居设备存在严重漏洞”,有一个前提条件:制造厂商不负责或技术不到位。
最后一个问题。近日,国民新晋老公宁泽涛在第16届游泳世锦赛夺冠了,项目是男子100米自由泳,创造了亚洲人神迹,突破了黄种人极限,影响力
被认为堪比刘翔首夺110米跨栏。显然,小鲜肉宁泽涛具备了100米自由泳夺冠能力,但是倘若给他安排80米的赛道,没有夺冠,难道能说明他100米不
行?
假如ZigBee有100的安全设置手法,一些厂商只用80或只能做到90,结果设备被破解了,就是ZigBee协议安全性就有问题?这答案或许与最后一个问题的答案类似吧。
智能家居遭黑客入侵,摄像头突然说话,科技生活中有哪些让人细思极恐的事?
智能家居遭黑客入侵,摄像头突然说话?科学生活中有很多让人细思极恐的事。。其实很能够理解。。智能家居嘛。都是被电脑操控的。现在都有电脑机器人了,大家还奇怪摄像头会说话吗!?当大家都奇怪这个智能家居被黑客入侵的时候,我也遇到了被黑客入侵的例子!我家的WIFI密码居然被别人改了?!容我伤心五分钟。。。
现在的社会已经不是我们传统意义上的社会了,以前我们只要靠我们的双手就可以自给自足,但现在更多的是人们怎么样生活呢???那可是运筹帷幄决胜千里之外了哈。很多人靠着脑子在家里面就可以赚钱了,所以也衍生出了很多的新兴科技事物,那么就有一小部分人专门去黑别人,当黑客去牟取暴利,在敌人日渐强大的时候我们也要把自己变强大。得跟得上时社会的步伐,黑客厉害我们就要比他更厉害!
有的人说用苹果手机去拍就可以拍到鬼,我想说的是现在社会是人比鬼更可怕,就像广西那个准大学生去广西旅行结果失踪了的案件,又要知道他不是第一个失踪的了。之前就有一个女教师在同一个地方失踪了。我想这才是最高深莫测的科技吧!生不见人死不见尸凭空消失难道是小说福尔摩斯吗?
现在你只说智能家居招黑客入侵?那么生命遭黑客入侵是什么样的概念??那是活生生的生命啊。我认为应该加强对生命对财产的重视和关注。这才是我们未来的发展之路。
解密,黑客到底如何对物联网进行攻击
谁会想要攻击智能家居?原因为何?这么做对黑客有何好处?由于物联网 IoT ,Internet of Thing)装置有别于 PC 和智能手机,并非全都采用相同的操作系统 (至少目前市场现况是如此)。然而这一点小小的差异,就会让黑客更难以发动大规模的攻击。除此之外,想要破解物联网装置的安全机制也需要相当的知识和适当的工具。
近年来,信息安全研究人员早已证明智能装置确实可能遭到黑客入侵。当初研究人员骇入这些装置的用意,只是希望引起厂商们注意产品的安全性。
但就在去年,趋势科技研究人员以实验证明黑客确实能够从远程撷取智能车辆的数据,甚至篡改自动化油表的油量。为了降低伤害的风险,这些实验都是在控制的条件下进行,但歹徒可就不会这么体贴。
现在我们已知道物联网装置有可能遭骇,那么,歹徒骇入这些功能单纯的家用智能装置要做什么?以下列举了一些可能攻击物联网的非典型嫌犯,以及他们的动机和他们攻击智能家居的机率有多大。
网络犯罪集团
对网络犯罪集团来说,其攻击的动机永远都是为了钱。随着越来越多物联网 装置进入家庭当中,网络犯罪集团盯上这些装置以及这些装置所连接的智能家居网络是迟早的事。网络犯罪集团一旦骇入智能家居网络,他们就可能发动勒索病毒攻击或者将装置锁住来勒索赎金。此外,他们也可能窃取敏感的用户数据,然后用来勒索被害人,或者拿到地下市集贩卖。
不肖分子
不肖分子很少有正当的攻击动机,他们总是大费周章地试图得到他们想要的。对这些人来说,他们有可能利用家庭物联网装置来跟踪、尾随、伤害受害人,甚至恶意破坏竞争对手的生意来取得优势。
黑客激进分子
不论是为了宣扬政治理念、表达不满,或者动员人群以达到某种目的,黑客激进分子向来偏爱能够让他们制造最大宣传效果的管道。随着越来越多人开始拥抱智能家居,黑客激进分子很可能会考虑利用这些装置来扩大他们的地盘。
政府机关
当牵涉到国家安全和个人隐私权时,政府对人民的监控一向是个引起争议的话题。媒体一再爆料,政府机构经常为了国家和人民安全的理由而监听私人通讯以追查可疑嫌犯。因此,一些具备声音和视讯传输功能的智能家居装置就可能成为政府机关用于监控国家安的工具。
恐怖分子
尽管恐怖分子的主要目标是散播恐惧,但他们不太可能会利用智能家居装置来达到这项目的。但随着各式各样的企业都在营业系统和重大基础架构当中导入物联网技术,恐怖分子应该会盯上这些更有效果的攻击目标。
企业机构
严格来说,企业机构不算是黑客,但每当有厂商推出全新的热门物联网装置时,就会引起社会大众某种程度的不安。这通常都和隐私权有关。因此,正在考虑购买的客户,就会想要知道这些智能装置用起来到底安不安全。凡是会经手客户信息的任何企业,都必须坦白说明他们会搜集何种资料、如何搜集、储存在哪里、用途为何,以及还有谁会存取这些数据。若未正确告知客户这些相关细节,就是厂商的不对。
物联网黑客:如何再次打破智能家居
随着科技的发展,越来越多的用户开始使用物联网设备了,而且用户在购买这些设备时,往往会选择功能更先进且更丰富的产品。但是从安全社区的角度来看,我们并没有对这些逐渐“渗透”进我们生活的设备给予足够的“关怀”。
虽然近些年来已经有很多安全研究人员对联网设备进行了安全分析,但是安全威胁仍然一直存在,而这些东西肯定会让用户处于安全风险之下。今天,我们将选择一款智能集线器进行分析,这种设备具备多种用途,比如说控制家庭环境中的传感器和设备、用于能源或水利管理、安全监控或用于安全系统之中。
这种小型设备可以从所有与之相连的设备中获取信息,如果当前环境中出现了意外情况,它将会通过手机短信或电子邮件来提醒用户。有趣的是,它还可以连接到本地紧急服务,并根据情况向用户发送警告信息。所以说,如果某人能够入侵这种智能家庭系统并接管家庭控制器的话,这不仅对用户来说是可怕的噩梦,而且还会影响紧急服务的功能。
在我们的分析过程中,我们发现其中存在多个逻辑漏洞,而这些漏洞将成为攻击者可以使用的攻击向量。
物理访问
首先,我们需要检测攻击者从网络外部所能利用的漏洞。我们很容易便从网上找到了这款集线器的固件,而且还可以直接下载。所以说,任何人都可以直接对固件文件进行分析,甚至修改固件内容。
我们还发现,其中root帐号的密码存储在一个隐藏文件中,并且使用了DES算法进行加密。可能有些同学知道,DES加密算法并不安全,而且很容易破解。因此,攻击者可以通过暴力破解的方式获取到密码哈希,并破解出‘root’帐号的密码。
为了使用root权限访问设备并修改文件,或者执行恶意命令,物理访问是必须的。
我们拆开了设备的外壳,但这并不是所有攻击者都能够做到的。不过我们的进一步分析表明,我们还有其他的方法来获取到设备的远程访问权。
远程访问
在对集线器进行个性配置并检查所有连接设备时,用户可以选择使用移动端App,或通过Web页面来完成。当用户设置完成之后,所有的设置信息都会封装到config.jar文件中,而集线器将会下载并执行这些配置。
但是我们可以看到,config.jar文件是通过HTTP发送的,而设备识别符使用的是设备的序列号。所以,攻击者可以使用任意序列号来发送相同的请求,并下载配置文件。可能有的同学会觉得序列号是唯一的,但是开发人员表示:序列号并没有受到很好的安全保护,而且可以通过暴力破解的形式获取到。为了获取序列号,远程攻击者可以发送特制的伪造请求,并根据服务器端的响应信息来判断当前序列号是否已在系统中注册。
除此之外,我们的初始研究也表明,很多用户会在网上论坛中讨论他们的设备问题,或在社交网站上发布集线器的照片,这些都有可能暴露设备的序列号,就算攻击者无法破解出序列号,他们也可以通过社工技术来尝试一下。
在分析config.jar文件时,我们发现其中包含了设备的登录名和密码,而这些信息足够攻击者通过Web接口来访问用户帐号了。虽然文件中的密码经过了加密处理,但是现在有很多开源工具或开源密码数据库可以帮助攻击者进行哈希解密。最重要的是,用户在设置密码时,设备并不会要求用户输入复杂密码(没有长度和英文数字混合的要求),这从一定程度上就降低了密码破解的难度。
在我们的实验过程中,我们成功访问了目标用户的智能家庭系统,我们不仅获取到了所有的配置(包括IP地址)以及传感器信息,而且还可以修改这些数据。除此之外,jar文件中还包含了用户的隐私信息,因为用户需要上传自己的手机号来接收警告和通知。
因此,攻击者只需要生成并向服务器发送一些伪造请求,他们就有可能远程访问目标用户的智能家庭系统,而这些系统并没有采用任何的双因素身份验证。这样一来,攻击者就可以控制目标用户的“整个家”,比如说开灯关灯、打开水龙头、甚至是打开家门等等。这样看来,智能家庭生活很有可能会成为你的一个噩梦。
注:我们已经将漏洞的详细信息上报给了相关厂商,不过这些漏洞现在还没有被修复。
阳光总在风雨后
除了智能集线器之外,我们还对一款智能灯泡进行了分析。虽然这种产品没有非常严重的安全漏洞,但还是有不少安全问题让我们感到非常惊讶。
智能灯泡可以连接WiFi,随后用户便能够通过移动App来控制它了。因此,用户需要下载移动App(Android或iOS),打开灯泡,连接到灯泡所创建WiFi热点,并给灯泡提供本地WiFi网络的SSID和密码。
通过App,用户可以开灯或关灯,设置定时器,或修改灯光的亮度和颜色。而我们的研究目标是为了弄清楚攻击者如何利用智能灯泡中的漏洞来获取本地网络的访问权。进行了多次尝试之后,我们通过移动端应用获取到了灯泡的固件,而有趣的是,灯泡并不会直接跟移动端应用进行交互。实际上,灯泡和App都需要连接到一个云服务,并通过云服务来进行交互。
我们发现,灯泡会向服务器发送固件更新请求,并通过HTTP协议下载更新文件,这明显是不安全的。如果攻击者处于同一网络,中间人攻击就变得轻而易举了。
通过固件侦查以及闪存数据提取技术,我们不仅访问到了固件文件,而且还获取到了用户数据。不过进一步分析表明,设备或内部网络中并没有任何的敏感数据。不过,我们发现了目标灯泡之前所连接过的所有WiFi网络的凭证,这些信息会永久存储在设备的闪存中,而且没有经过加密,即使按下了“reset”按钮也无法将其清除。
以上由物联传媒转载,如有侵权联系删除
面对全智能的家居家电是一种什么样的体验呢?
全智能家居给人最大的体验就是方便,很多东西不用自己动手,只要到时间就会自动开启。第一次体验不仅会感到神奇,省时省力还会让心情变得舒畅。
以前人们在家里做事情,什么东西都要手动,比如早上起床,打开窗帘、烧水、关空调、打开热水器洗漱,整个过程十分麻烦。而有了全智能家居就不一样了,很多事情都可以自动完成。早上起床窗帘和窗户会自动打开,热水器会自动开启,起来只要洗漱、做饭就可以。那些自己讨厌的过程,可以统统省去。
1、省时省力
现在是快节奏的时代,什么事情都讲究速度,尤其是在大城市工作的人,要把一切时间都用在赚钱上,智能家居就是为这种时代而生的产品。它最大的好处,就是省时省力,像是早上起床,窗户、窗帘、空调、热水器都会自动准备好;像是离家或者回家,灯光、空调、保护系统都会自动打开和关闭;日常娱乐,有阅读、影院、夜间等多种不同的模式……
智能家居给人们的生活带来了便捷,哪怕躺在床上不动,也可以完成很多事情。而这些事情,可以省去很多时间和麻烦。
2、安全性提高
除了方便和快捷之外,全智能家居还有一个很大的优点,那就是安全性。就像现在的无人汽车,因为没有人为因素,一切都是智能操控,所以可以避免发生车祸、闯红灯等一系列问题。智能家居的安全主要体现在陌生人入侵、屋内设备。
当有人靠近房间的时候,摄像头、门锁、窗户、警报器就会发挥应有的作用。当屋内的设施,像是煤气、水电、明火出现会及时报警和通知。智能生活不仅仅给人带来方便,更多是保障人们的生活。
3、智能家居的缺点
虽然智能家居有很多优势,但是它的缺点也是不可忽略的。我们都知道智能家居需要联网,而联网就有可能被黑客入侵。现在智能家居很发达,可是在自我保护方面,似乎并没有做得很好。网上这类例子比较少,不代表没有入侵的可能,在网上有很多新闻报道过黑客远程操控智能扫地机器人的事情。而一般我们的家庭被入侵,不单单财物可能会受损,自身的隐私也会被别人看到。就像是《楚门的世界》,我们可能会生活在一个透明的环境下。
自家摄像头惊现别家娃,空调被调90度,家用摄像头为何频频暴雷?
智东西(公众号:zhidxcom)文| 李水青
导语:魔鬼在窥听!自家摄像头惊现别家娃,摄像头突然出声吓坏小萝莉,国外家用摄像头为何频频暴雷?
“陌生的老人躺在扶手椅上、婴儿躺在床上睡觉、阳光明媚的客厅。”
近日,一个荷兰小伙用自家的小米摄像头联接谷歌Nest Hub时,却看到了别人家的视频画面。事后,谷歌立刻在谷歌助手上禁用小米摄像头集成。
无独有偶, 美国另一家智能摄像头巨头 亚马逊也几乎同一时间暴雷。
密西西比州,黑客入侵了一个家庭的亚马逊Ring摄像头。对方自称是圣诞老人,差点吓坏了家里的小女孩。没几天后,亚马逊Ring被爆出超4000个账户泄露,可让黑客远程监控、窃取信息。
而在我国,元旦刚过,浙江警方破获了一起 “非法控制十万摄像头” 的案件,跨越20省抓获32名嫌疑人。这些人在QQ群中售卖摄像头破解工具、被控摄像头账号密码,甚至以10-20元价格售卖裸露、色情的偷拍视频。
全球智能家居摄像头市场年年攀升,预计2023将以14%增速达130亿美元的规模。而家用摄像头也摆脱了“电脑外设”、“笨重安防设备”的标签,成为看娃、吸猫、照顾老人的日常智能家居设备。
但频繁发生的摄像头暴雷事件却成为许多用户心中的“倒刺”。黑客入侵、隐私直播等事件为什么会频频发生?问题的解法又是什么?令人费解。
自2019年初起, 谷歌Nest摄像头 就开始接连爆出类似“坑”。
伊利诺伊州的一对夫妇称黑客通过摄像头跟婴儿讲话,并把Nest恒温器调到了90华氏度(约为32摄氏度);ABC报道一个Nest用户遭到来自摄像头的口头虐待和勒索赎金……
亚马逊这边 ,12月28日,有美国公民甚至把亚马逊Ring告上法庭,列举了八大实例,直指亚马逊的Ring相机容易受到黑客攻击。而后,Ring被查出有内部员工滥用职权访问用户视频数据。
谷歌和亚马逊是北美两大家用摄像头巨头。Nest公司曾因为恒温器的走红而被谷歌收归麾下,Ring于2018年被亚马逊以839美元收购,它们与路由器出身的Arlo公司一起占据了北美近80%的家用摄像头市场份额。
2019年,亚马逊和谷歌的 智能音箱频频暴雷,也为其摄像头安全问题增添了不安的底色。
2019年4月,亚马逊被曝在未告知用户的情况下雇人监听Alexa录音,对内容进行转录、标注,然后反馈给软件;两个月后,谷歌助手超1000个录音信息遭到泄露,其中包括大量在音箱没被唤醒时的录音,涉及卧室对话、父母和孩子之间的对话和大量私人信息电话……
相比于智能音箱隐私泄露的危害,家用摄像头可谓有过之而无不及。
一些黑客仅仅为了恶作剧、炫耀自己的“职业素养”而入侵摄像头,一些则更加邪恶。据了解,有黑客在名为NulledCast的播客中直播了入侵他人家中的内容,甚至滋生出“15元直播对床视频”类似的黑产,一些不法人员还通过摄像头进行敲诈勒索。
家用摄像头本是看护孩子老人的助手,却成了“魔鬼”潜入家里的“眼睛”。
“用户密码” 成为广为人知的薄弱环节。
一方面,一些用户在安装摄像头后直接 使用原始密码 ;另一方面,一些用户 在不同的平台和账户都采用相同的密码 ,这些情况都为黑客入侵创造了机会。
▲使用原始密码的摄像头机器容易被破解
一些企业和专家表示,受到黑客侵扰的,往往是在不同的平台和网站上使用相同名称和密码的人。当某站点被入侵后,黑客能使用被盗的名称和密码来尝试闯入其它平台帐户。
比如之前的“黑客入侵扮圣诞老人吓坏小女孩”、“黑客把室温调到90华氏度”的事件都被认为是这一原因。
Ring的一位发言人曾说:“不良行为者从其他公司的数据泄露中收集账号密码数据,供其它不良行为者访问其它服务,这种情况并不少见。”
然而,这并不能解释所有问题。 仅仅将问题归因于用户不改密码、密码太简单,则容易陷入企业和相关部门推卸责任的公关话术。
视频流的传输是一条长长的链条 ,从摄像头端到云服务器,从独立系统到集成系统,从视频云平台到手机、Pad等设备端, 每一个节点和传输通道都可能成为薄弱环节。
本次谷歌Nest Hub-小米摄像头的画面误接入就是一个实例。根据小米官方公告可知,当时恰逢网络恶劣,而米家系统正在缓存更新,因此该系统与谷歌Home Hub的集成环节就发生了故障。
同样是上个月底,美国摄像头厂商Wyze泄漏暴露了240万用户的客户数据,据称是其员工在使用该数据库时错删了安全协议。
2019年3月,美国摄像头巨头Arlo也被爆出系统存在两大Bug,包括网络配置错误和UART保护机制不足。
在一条用户看不到的视频流传输链条中,传输网络、子系统、集成系统、服务器等各个环节都可能成为薄弱环节,为黑客制造可入侵的机会。
然而,黑客的入侵固然令人担忧,运营商的“偷窥”则令人更难以接受。 2020年新年刚过,亚马逊公布的一则消息令人咋舌:亚马逊解雇四名员工,因为在过去四年中,Ring的四名员工滥用职权访问用户视频数据。
如果说黑客入侵还可以防范的话,那么运营商的“窥探”则是防不甚防。
当用户安装了亚马逊或谷歌的摄像头之后,就等于将自己的隐私交到了亚马逊和谷歌手里。在毫不设防的情况下,用户的视频数据可能被拿来训练AI模型、构建用户画像、投入精准广告。而一旦数据滥用的口子打开,引发的违法犯罪勾当则再难避免。
近年来,摄像头越来越成为居民的日常智能家居设备。吸猫、看娃、抓贼、看护老人、作智能猫眼……众多应用场景,一个摄像头和一台手机搞定。
Strategy Analytics报告指出,全球智能家居摄像头市场年年攀升,2019年将达80亿美元市场规模,2023将以14%增速达130亿美元市场规模。
全球的家庭、租户及商铺对摄像头的需求都在增长,但安全隐私问题却成为一根倒刺,让用户面临“因噎废食”的窘境。尤其对于我国方兴未艾的家用摄像头行业,这根“刺”显得格外梗喉。
用户管理好自己的密码,被认为是一条行至有效的路径。 在买回摄像头后,用户应该修改原始密码,并尽量不要将一个密码在多个平台共用,“密码+验证码”、“密码+指纹”的双重验证也被认为是强力保障。除此之外,不贪小便宜购买三无摄像头也能够避免一些风险。
▲一些摄像头的初始密码非常简单
但仅仅要求用户自卫远远不够。
厂家和运营商把握着视频流传输中的众多薄弱环节。 升级云服务器能力,优化传输网络,定期修复系统Bug、更新升级平台,从而在技术层面做到“坚如磐石”。
一位来自大华股份的专业人士称,因为我国在安防领域有着深厚实践,在视频加密方面的技术居于世界领先地位,视频加密级别越来越强,因此往往在刚刚接触到攻击,服务器就能快速反应,在用户完全“无感”的情况下就将入侵隔绝在外了。
除此之外,为摄像头增加物理遮挡,成为各大摄像头厂商应对安全隐私泄露的最直接举措。用户可以在App上开关摄像头,只选择在需要的时候打开摄像头。
放弃云服务,做视频本地存储和本地AI化也成为一种路径,但这种摄像头的价钱本身可能会昂贵许多,且对于厂商来说难以通过迭代的软件升级获得生态效应。
从更深层次来说,在用户和企业的自律之外,法律的监管和约束对摄像头行业尤其重要。
一方面,企业使用用户视频数据的界限在哪里?随着家用摄像头的AI化、以及摄像头与其它智能家居设备的打通,用户视频数据在AI模型训练、用户画像绘制等方面的价值将更加明显,如何将数据运营方关在“笼子”里,需要靠相关部门和法律法规的规范。
另一方面,不法人士的“偷窥成果”流向了哪里?所有围绕家用摄像头诞生的“黑产”,都会有“叫卖声”和“交易”的蛛丝马迹浮出水面,执法部门的管理打击力度也大大影响了智能摄像头行业的命运走向。
2019年6月,我国温州民警发现一男子在QQ群中售卖摄像头破解工具、被控制的家用摄像头账号密码,甚至以10-20元价格售卖裸露、色情的偷拍视频。
而就在近日,这起“非法控制十万家用摄像头”的案件水落石出,全国20多省份的32名犯罪嫌疑人被抓获。
在欧美,虽然亚马逊、谷歌一再强调自己的视频传输保密技术没有问题,且不会滥用用户的视频数据,各大关于数据隐私的法律也相继出台。但是摄像头频频暴雷却成为2019年各大厂的真实写照,值得我国的家用摄像头行业警醒。
家居场景涉及人们最隐秘的部分,而对承载人们生活画面的智能家用摄像头来说,隐私安全具有极端特殊的重要性。没有人会冒着“裸照被直播”的风险尝鲜AI技术,企业一旦在隐私安全上栽跟头,就可能真正永远失去用户。
0条大神的评论