每經(jīng)編輯 每經(jīng)記者 蔣佩芳 每經(jīng)編輯 盧祥勇
每經(jīng)記者 蔣佩芳 每經(jīng)編輯 盧祥勇
在蘋果發(fā)布HomePod智能音箱后�����,一夜之間���,人類似乎進(jìn)入了智能時代�����。大科技公司似乎都準(zhǔn)備將語音作為人機(jī)交互的下一個主流方式����,此前��,亞馬遜Echo已經(jīng)實現(xiàn)了用語音網(wǎng)上購物���。
除了智能音箱�����,如今很多人家里都裝有智能家居產(chǎn)品�����,小到智能門鈴���,大到智能冰箱等,似乎在印證一個觀點:家里�����,即下一個戰(zhàn)場����。但,這些智能產(chǎn)品安全嗎�?《每日經(jīng)濟(jì)新聞》記者多方采訪發(fā)現(xiàn),這些產(chǎn)品的安全問題真實存在�,大多數(shù)企業(yè)在推出產(chǎn)品的同時并沒有對應(yīng)地解決安全問題。在智能時代����,以前只在好萊塢電影中看到的智能犯罪極可能在我們的生活中出現(xiàn)。
●音箱安全問題并未解決
上月�,蘋果公司發(fā)布了一款被名為HomePod的智能音箱,這是一款具有人工智能(AI)的音箱�����,除了音樂播放功能以外,HomePod通過內(nèi)置的智能語音助手Siri來實現(xiàn)語音方式的人機(jī)智能交互�����,回答用戶提出的相關(guān)問題或完成某些特定任務(wù)等�。
此前,包括谷歌(Google Home)���、亞馬遜(Echo)��、微軟(Invoke)等巨頭�,都已經(jīng)有具體的智能音箱產(chǎn)品問世��,比如亞馬遜Echo是智能音箱領(lǐng)域的第一個產(chǎn)品���,除了語音點歌����,Echo還可以為用戶提供叫Uber��、訂購披薩甚至操作銀行賬戶等服務(wù)。
市場研究機(jī)構(gòu)Strategy Analytics的報告顯示�,2016年亞馬遜Echo音箱出貨量超過500萬臺。該機(jī)構(gòu)預(yù)計�����,到2022年��,北美三分之一的家庭會配備智能音箱���。表面上這是一場圍繞智能音箱的“卡位戰(zhàn)”,但從更深層角度看���,科技公司只是借此進(jìn)入家居場景�,目標(biāo)是切入未來更大的人工智能市場��,因為硬件背后的語音平臺����,有機(jī)會成為物聯(lián)網(wǎng)時代的“操作系統(tǒng)”,連接全新的產(chǎn)業(yè)生態(tài)��。
無論是智能音箱還是各種智能助理���,其工作原理基本一致�����,它們在接受到特定的語音信息后���,把你的聲音信息發(fā)送到服務(wù)器上����,再給予用戶回應(yīng)�。于是這就產(chǎn)生了一個問題,但萬一開發(fā)廠商的系統(tǒng)被攻擊泄密了呢���?在上月蘋果全球開發(fā)者大會上���,蘋果營銷高級副總裁菲爾·席勒只是明確,HomePod的數(shù)據(jù)將會被加密��,并未給出更詳盡的安全方案����。
iDST語音組高級專家鄢志杰指出,就IoT(物聯(lián)網(wǎng))設(shè)備上的語音交互產(chǎn)品而言����,在個人隱私方面���,一般會有多種手段進(jìn)行保護(hù)。首先�����,設(shè)備不會始終將錄制的語音上傳到云端��,而是在用戶明確喚醒設(shè)備后����,才會產(chǎn)生與云端的數(shù)據(jù)交換��;其次���,設(shè)備上應(yīng)設(shè)置明確的“暫停拾音”的功能�,將絕對的控制權(quán)交給用戶��;最后����,在云端數(shù)據(jù)存儲方面,也要有相應(yīng)的機(jī)制來保障,確保數(shù)據(jù)“脫敏”�。鄢志杰還表示,這絕不僅僅是語音交互產(chǎn)品獨有的問題�,更多是一個云計算大趨勢下共性的問題。
●智能設(shè)備面臨三種攻擊
如今�,手機(jī)已成為人們必備的智能設(shè)備之一,支付��、鎖屏都使用指紋解鎖�,但你想過沒有,它真的安全嗎�?
在指紋算法供應(yīng)商Precise Biometrics北美市場高級總監(jiān)Mark Cornett看來,指紋會殘留在大量物體的表面��,可以利用一系列現(xiàn)有方法(如膠帶拓取�����、氰基丙烯酸酯煙熏�����、照相術(shù))在60秒內(nèi)輕松獲取一枚潛指紋��。一旦潛指紋被拓取成功并進(jìn)行數(shù)字化����,就很容易通過一些日常家用材料來(如明膠�、乳膠漆和橡皮泥)制作指紋模具和假指紋�。另外,用3D打印機(jī)即可打印高清晰的模具�。
對于手機(jī)支付安全,WiFi萬能鑰匙首席安全官龔蔚表示��,“大額支付本身會有二次認(rèn)證�����,目前假指紋技術(shù)也只是在現(xiàn)于一些專業(yè)安全技術(shù)研究的團(tuán)隊�,并不是普通的人可以模擬的,所以大家還是完全可以放心使用的�。但隨著指紋作為更多的身份認(rèn)證的主要方式�,他的安全性一定會被越來越多的重視,日后你可能不會再想起自己的密碼是否簡單���,而會去關(guān)心自己的指紋有沒有被泄露�����?��!?/p>
根據(jù)龔蔚的說法�����,未來智能設(shè)備可能會更多泄露我們的隱私�?����!霸诘叵庐a(chǎn)業(yè)里面���,有很多攝像頭可以免費觀看各式各樣的別人的生活�,文藝青年以及單身青年主題都可以找到��,但如果你要看到直播的這個房間����,有時候會充錢?���!?/p>
龔蔚指出,未來智能設(shè)備可能發(fā)生的安全隱患只要有三個方面���。
首先是來自智能設(shè)備和智能攻擊��。家里的智能攝像頭�����、智能門鈴或者智能電燈泡�����,都可以成為幕后黑客控制的傀儡�,發(fā)起大規(guī)模的攻擊。
其次����,基于大數(shù)據(jù)的挖掘攻擊。利用大數(shù)據(jù)提供的設(shè)備認(rèn)證�,它可以辨別這是你的手機(jī),以及通過GPS位置等形式來“鎖定”一個人���。未來甚至手機(jī)來電也可能會被模仿。
再次���,類似敲詐類的攻擊��。這種攻擊未來也會越來越普及�,不像以前簡單的木馬形式,類似敲詐勒索的軟件�����,未來可以向智能設(shè)備轉(zhuǎn)移��。
●智能鎖靠不靠譜
隨著共享單車的普及���,智能鎖也被廣泛熟知��。中國智能家居產(chǎn)業(yè)聯(lián)盟秘書長周軍曾對外透露���,2016年中國智能鎖的出貨量已經(jīng)達(dá)到了300萬把,產(chǎn)值在30億~50億元之間�����。在一個縣城����,一家做智能鎖的企業(yè)半天就賣出了170把智能鎖,“全部都是1500-2000元的鎖����,你還能說用戶沒有消費能力�����?”
記者發(fā)現(xiàn)��,在大型電商平臺的搜索框里鍵入智能門鎖�����,就有包括三星�����、松下�、羅曼斯��、海爾等各種品牌���,價格少輒幾百元�,動輒上萬元���。很多智能門鎖標(biāo)榜自己特別“黑科技”�����,功能不僅僅只是密碼那么簡單�����,更有活體指紋解鎖等���。
盡管智能門鎖市場十分火爆,但這些智能門鎖真的可以防住外來侵入者嗎�?龔蔚表示,“我們技術(shù)分析看了一些智能門鎖設(shè)備��,應(yīng)該說他們只是考慮了滿足用戶功能上的需求�����,根本沒有實力也沒有能力去考慮安全����。”
從事大數(shù)據(jù)方面的專業(yè)人士也向記者指出�,在沒有曝出安全事件的時候,大家可能都會覺得這樣的產(chǎn)品非常好,而一旦發(fā)生安全事件�,那么這些產(chǎn)品很快將面臨信任危機(jī)。
龔蔚建議��,使用這些智能設(shè)備的時候一定要閱讀說明書����,特別是提供連接的部分,如有設(shè)備提供開啟識別身份的模式��,尤其是藍(lán)牙模式就開啟信任自己的設(shè)備�����,不要設(shè)置全部都信任��,需要初始化設(shè)置密碼的時候�����,也不要因為是自己居家使用的設(shè)備就疏忽而設(shè)了一個簡單的密碼�。
龔蔚還強(qiáng)調(diào),智能固然很好�����,但是智能也就意味著具有更高的開放性,而目前家電行業(yè)針對智能設(shè)備的安全規(guī)范或安全標(biāo)準(zhǔn)還沒有出臺�����,所以根本不知道廠家是否將安全作為一個很重要的用戶需求�����?�;谶@種市場現(xiàn)狀�,建議盡量選擇一些大品牌的產(chǎn)品�����,起碼這些廠家相對的會更多的考慮安全這個問題���。
記者觀察
越智能可能就越危險
每經(jīng)記者 蔣佩芳 每經(jīng)編輯 盧祥勇
在PC時代���,人們對網(wǎng)絡(luò)更多是娛樂方面的需求;到了移動時代需求增加�,包括了在線購物和移動支付等,人們會意識到手機(jī)不能丟����;而到了智能時代���,技術(shù)在帶來無限便利的同時,也以新的方式威脅著人們的安全�。
技術(shù)進(jìn)步是雙刃劍
在PC時代,為了保證安全��,所有系統(tǒng)能做的就是提醒用戶不要用簡單的密碼或者定時修改密碼���。早前在登錄管理服務(wù)商Keeper Security分析的1000萬個泄露密碼中����,登錄密碼“123456”就占了17%��。不難看出����,相對于安全,多數(shù)人依然更看重密碼的方便性�����。
在WiFi萬能鑰匙首席安全官龔蔚看來�,沒有密碼是就最好的密碼�����,目前有很多技術(shù)團(tuán)隊嘗試著取消現(xiàn)有的固定密碼這種機(jī)制�����。在無密碼時代到來前,部分服務(wù)提供商可以使用一次一密的機(jī)制����,或者引入除密碼外的多樣的身份鑒別方法。
在智能時代����,傳統(tǒng)上的數(shù)字和字母密碼被語音、指紋�����、人臉識別等新的識別系統(tǒng)所代替�,但這并不是絕對安全。比如聲音購物�����,假如一個人的聲音特征被破譯,不僅可能被“網(wǎng)上購物”�,如果家里使用了聲音控制的智能系統(tǒng),還可能成為進(jìn)入你家門的鑰匙���。而人臉識別的安全風(fēng)險也同樣存在����,在今年的315晚會中�����,現(xiàn)場合成的視頻就通過了活體檢測和人臉驗證��。根據(jù)阿里云數(shù)字記憶方向負(fù)責(zé)人三湘的說法����,人臉識別最大風(fēng)險是用照片或者動態(tài)視頻可以冒充,而任何識別算法都存在一定的誤識別率��,盡管很低����,但誰家都不能保證沒有誤識。
如何才能提高人臉識別的安全性�����?阿里云人工智能研究機(jī)構(gòu)iDST副院長、IEEE院士華先勝博士則向記者指出��,需要加強(qiáng)對事物與屏幕拍攝差異的識別�,以及合成/改造圖像視頻的識別(一般稱為image foresics)的能力。
毋庸置疑��,技術(shù)進(jìn)步是一把雙刃劍——在給人們帶來無限便利的同時�,也以新的方式威脅著人們的安全。
國家互聯(lián)網(wǎng)應(yīng)急中心運行部主任嚴(yán)寒冰也曾對外表示�,隨著智能可穿戴設(shè)備���、智能家居等終端設(shè)備的普及�����,針對物聯(lián)網(wǎng)智能設(shè)備的網(wǎng)絡(luò)攻擊增多�����。攻擊者利用漏洞可獲取設(shè)備控制權(quán)限����,或用于用戶信息數(shù)據(jù)竊取,或用于被控制形成大規(guī)模僵尸網(wǎng)絡(luò)�,危害很大。他還稱�����,很多智能設(shè)備本身的防護(hù)能力比較薄弱�,未來針對該類智能終端的攻擊將更為頻繁。
智能手機(jī)成“泄密之王”
事實上�����,個人的信息被暴露是有軌跡可循的��。
龔蔚指出�����,早期比如說中毒或者中木馬�,本地的記錄沒了。個人相應(yīng)的一些記錄�����,保存的東西信息可能就泄露出去。在早些年發(fā)生的信息泄露事件中��,用戶軌跡被泄露后出現(xiàn)了很多“人肉”事件�����?����!氨热缯f我可以用一個帳號判斷你在多少網(wǎng)站注冊過�,可以了解你的愛好范圍,你對新聞類感興趣��,還是歷史類����,然后可能有大量的地下產(chǎn)業(yè)會用你的密碼信息���。有些網(wǎng)站你覺得不太重要����,從來不登陸���,但在早期注冊網(wǎng)站的時候�����,會包括找回密碼的一部分����,比如說我的愛人叫什么,寵物叫什么的����,這些信息都會暴露?��!?/p>
然而���,信息泄露的渠道正在發(fā)生變化:從早期郵件內(nèi)的信息泄密,到現(xiàn)今越來越多的手機(jī)隱私泄露��。
今年4月����,國家質(zhì)檢總局曾發(fā)布風(fēng)險警示,提醒注意智能手機(jī)信息安全問題����。他們從市場上采集了40批次智能手機(jī)樣品����,發(fā)現(xiàn)18批次樣品存在質(zhì)量安全隱患�����,可能導(dǎo)致信息泄露�����。
據(jù)介紹���,上述樣品中����,12批次樣品后端信息系統(tǒng)存在信息安全漏洞���,包括未限制用戶密碼復(fù)雜度�����、未限制非法登錄次數(shù)、未限制短信驗證碼錯誤使用次數(shù)等。9批次樣品中的預(yù)置應(yīng)用軟件未向用戶明示且未經(jīng)用戶同意��,擅自收集用戶數(shù)據(jù)�。1批次樣品未實現(xiàn)對用戶數(shù)據(jù)的操作權(quán)限控制功能。1批次樣品操作系統(tǒng)的更新未向用戶明示且未經(jīng)用戶同意�����,擅自自動升級�。上述問題可能導(dǎo)致用戶隱私數(shù)據(jù)泄露甚至智能手機(jī)被惡意控制。
國家質(zhì)檢總局提醒�����,在手機(jī)首次開機(jī)或者恢復(fù)出廠設(shè)置后��,應(yīng)點擊打開智能手機(jī)除撥號����、聯(lián)系人、相機(jī)等系統(tǒng)核心應(yīng)用以外的預(yù)置應(yīng)用���,看這些預(yù)置應(yīng)用是否有收集用戶隱私的提示��,在權(quán)限管理菜單中觀察這些預(yù)置應(yīng)用申請的權(quán)限情況和可否卸載情況�����。若這些預(yù)置應(yīng)用有收集敏感隱私信息權(quán)限申請��,打開時卻無相關(guān)的提示信息���,該手機(jī)就可能存在收集消費者隱私信息的安全問題����。
“數(shù)據(jù)泄露主要的原因是人們?nèi)粘I顢?shù)據(jù)化的程度越來越高����,比如以前通訊錄我們用筆、本子記����,現(xiàn)在大家都用手機(jī)里面的通訊錄,同時數(shù)據(jù)從本地化往網(wǎng)絡(luò)化發(fā)展�����,比如我們以前本地保存照片�,現(xiàn)在開始網(wǎng)絡(luò)相冊存儲,這一系列的變化導(dǎo)致一旦有安全隱患�,就會有數(shù)據(jù)泄露風(fēng)險��。”龔蔚進(jìn)一步表示����。
