信息化觀察網(wǎng)

本文來自物聯(lián)網(wǎng)智庫，作者/趙小飛。

近日，由知名研究機構(gòu)IMDEA網(wǎng)絡(luò)和美國東北大學領(lǐng)導(dǎo)的國際研究團隊與多家高校和科研機構(gòu)合作發(fā)布新的研究成果，公布了關(guān)于智能家居中不透明和技術(shù)復(fù)雜的物聯(lián)網(wǎng)設(shè)備日益普及所帶來的安全和隱私挑戰(zhàn)的突破性發(fā)現(xiàn)。

研究表明，物聯(lián)網(wǎng)設(shè)備使用的本地網(wǎng)絡(luò)協(xié)議沒有得到充分保護，暴露了家庭和使用設(shè)備的敏感信息。目前，智能家居已滲透到中國8000多萬家庭中，到2028年預(yù)計近2億家庭擁有智能家居產(chǎn)品，安全問題無小事，而本地網(wǎng)絡(luò)的安全隱患以更隱蔽的方式發(fā)生，需要業(yè)界提前重視并采取相應(yīng)措施。

在家庭中不斷增長的滲透率，智能家居安全問題至關(guān)重要

對于很多家庭來說，智能家居已不是陌生產(chǎn)品，日常生活中家庭很多智能產(chǎn)品持續(xù)帶來便利，甚至在一定程度上改變了人們的生活習慣。不過，由于智能家居需要使用各類連接方式接入互聯(lián)網(wǎng)，安全和隱私問題成為不可避免的一個話題，尤其是智能家居使用的場景正是比較私密的家庭空間，保護安全和隱私是業(yè)界的重要責任。

近年來，隨著人們生活水平提升，消費結(jié)構(gòu)的升級以及新的消費理念不斷出現(xiàn)，智能家居產(chǎn)業(yè)得到快速發(fā)展，目前已形成一個不可忽視的規(guī)?；袌?。

根據(jù)市場調(diào)研機構(gòu)Statista統(tǒng)計數(shù)據(jù)，2022年中國智能家居市場規(guī)模已達到233億美元，2022-2028年期間這一市場預(yù)計保持13.47%的年復(fù)合增速，到2028年最終將達到520億美元的市場規(guī)模。在家庭應(yīng)用方面，2022年智能家居在中國家庭的滲透率為16.6%，即有8000多萬戶家庭采用了智能家居產(chǎn)品，Statista預(yù)計到2028年中國智能家居的活躍用戶數(shù)將達到1.91億戶，這意味著有1.91億戶家庭在日常生活中都將高頻率使用智能家居產(chǎn)品，占所有家庭戶的比例達到39.2%，滲透率已接近4成。

美國智能家居市場位居全球首位，Statista統(tǒng)計數(shù)據(jù)顯示，2022年美國智能家居市場規(guī)模為309億美元，到2028年這一數(shù)據(jù)預(yù)計將達到550億美元。2022年美國智能家居在家庭中的滲透率已達到43.8%，到2028年這一滲透率將高達75.1%，屆時有1.03億戶美國家庭將高頻使用智能家居產(chǎn)品。

相比美國，中國的智能家居市場目前的規(guī)模和單家庭貢獻率還不高，2022年中國已使用智能家居的家庭中，在智能家居產(chǎn)品方面的支出為297.5美元，而美國這一數(shù)據(jù)為536.2美元。不過，未來幾年中美智能家居市場規(guī)模差距不斷縮小，中國的智能家居家庭用戶的戶均支出持續(xù)提升，顯示了巨大的發(fā)展?jié)摿Α?/p>

隨著技術(shù)的不斷進步，以及家庭用戶對于便利性、能源效率等方面的需求，智能家居市場會持續(xù)增長。從Statista的預(yù)測數(shù)據(jù)可以看出，未來5年中國智能家電、家庭安防、家庭娛樂、家庭控制和連接等方面的智能家居產(chǎn)品市場規(guī)模較大，尤其是智能家電一直占據(jù)近一半的市場份額。

當然，智能家居普及的背后，是不斷升級的網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)廣泛采用。在家庭生活中，這些設(shè)備有攝像頭、麥克風和其他方式來感知我們家里私密的空間和家中成員正在發(fā)生的事情，我們能相信我們家中的這些設(shè)備正在安全地處理和保護它們可以訪問的敏感數(shù)據(jù)嗎？換一個角度，對于設(shè)備廠商和智能化接近方案廠商來說，未來數(shù)以億計的家庭使用智能家居產(chǎn)品，廠商們必須確保給家庭用戶提供的是一個可信和安全的環(huán)境，否則這一行業(yè)就沒有存在的基礎(chǔ)。

房間內(nèi)的數(shù)據(jù)安全和隱私威脅：智能家居面臨的新挑戰(zhàn)

針對智能家居安全隱私的研究，此前更多集中在這些物聯(lián)網(wǎng)設(shè)備如何與云服務(wù)之間的安全性，識別兩者交互過程中的漏洞，揭示了大量智能家居終端和云端交互中信息泄露的實例，并持續(xù)檢測暴露于互聯(lián)網(wǎng)的、易受攻擊的物聯(lián)網(wǎng)設(shè)備，這方面已有很多有效成果。

然而，在家庭之內(nèi)，同一本地網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備之間的通信對于平臺和設(shè)備的互操作性、安全性、隱私性也具有重要意義，針對家庭本地網(wǎng)絡(luò)中物聯(lián)網(wǎng)設(shè)備之間以及設(shè)備和APP之間持續(xù)無縫交互造成的安全和隱私威脅研究較少。

IMDEA網(wǎng)絡(luò)本次新的研究成果就是專門針對智能家居本地網(wǎng)絡(luò)安全隱私的方向。研究團隊在近期舉行的ACM IMC’23學術(shù)大會上發(fā)表的一篇名為《In the Room Where It Happens:Characterizing Local Communication and Threats in Smart Homes》的論文，首次深入研究93種家庭物聯(lián)網(wǎng)設(shè)備和移動應(yīng)用之間在本地網(wǎng)絡(luò)交互的復(fù)雜性，揭示了大量以前未公開的具有實際現(xiàn)實意義的安全和隱私問題。

物聯(lián)網(wǎng)設(shè)備不僅通過外部互聯(lián)網(wǎng)進行通信，還可以與本地網(wǎng)絡(luò)上運行的其他設(shè)備和軟件服務(wù)進行通信。目前，一些大型企業(yè)發(fā)布的智能家居平臺包括了為發(fā)現(xiàn)、連接和管理物聯(lián)網(wǎng)設(shè)備提供的支持和協(xié)議，從而實現(xiàn)物聯(lián)網(wǎng)供應(yīng)商、設(shè)備和平臺之間的互操作性。通用的互操作協(xié)議如UPnP、mDNS等已被廣泛應(yīng)用于智能家居，可以即插即用地實現(xiàn)智能家居設(shè)備地網(wǎng)絡(luò)發(fā)現(xiàn)和協(xié)同工作，還有一些專有的互操作協(xié)議如Matter。

雖然大多數(shù)用戶通常將本地網(wǎng)絡(luò)視為可信和安全的環(huán)境，但IMDEA的研究發(fā)現(xiàn)揭示新威脅，即本地網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備使用標準協(xié)議也可能暴露敏感數(shù)據(jù)，如UPnP或mDNS等協(xié)議，這些新的威脅此前被忽視，包括暴露唯一的設(shè)備名稱、UUIDs以及家庭地理位置數(shù)據(jù)，所有這些都可以在用戶不知情的情況下被參與監(jiān)控的公司獲取。

研究人員搭建的威脅模型中，考慮的是家庭本地網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備或軟件，可以利用設(shè)備漏洞或網(wǎng)絡(luò)協(xié)議，從同一本地網(wǎng)絡(luò)中的其他設(shè)備收集隱私和敏感數(shù)據(jù)，這種攻擊在互聯(lián)網(wǎng)上是不可能實現(xiàn)，然而在一個家庭之內(nèi)的設(shè)備之間可以實現(xiàn)，這一潛在的安全隱患值得高度重視。

研究團隊的一位專家表示，他們發(fā)現(xiàn)了物聯(lián)網(wǎng)設(shè)備無意中會暴露至少一個PII（個人可識別信息）的證據(jù)，包括如在成千上萬個真實世界的智能家居設(shè)備的唯一硬件地址（MAC）、UUID或唯一設(shè)備名稱。任何一個單獨的PII都有助于識別一個家庭，雖然無法精準識別，但是將這三者結(jié)合在一起會使一個家庭描述非常獨特，很容易直接識別到家庭的重要信息。該專家指出，如果一個智能家居擁有所有這三種類型的標識符，至少可以在112萬個家庭中精準找到一個家庭。

因此，這些本地網(wǎng)絡(luò)協(xié)議可以作為訪問家庭物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)的輔助渠道，而這些物聯(lián)網(wǎng)數(shù)據(jù)本應(yīng)受到移動APP權(quán)限保護。不過，研究人員發(fā)現(xiàn)，某些間諜軟件、應(yīng)用程序和廣告公司確實在濫用本地網(wǎng)絡(luò)協(xié)議，在用戶毫無察覺的情況下悄悄訪問此類敏感信息。這些威脅是真實存在的，例如華爾街日報曾報道過谷歌禁用的一個隱藏獲取數(shù)據(jù)的APP，這個應(yīng)用有一個嵌入的間諜軟件SDK，可以向很多局域網(wǎng)發(fā)送廣播消息，對其他設(shè)備進行指紋識別，將設(shè)備的標識符和位置數(shù)據(jù)過濾至云端。

該團隊的研究表明，物聯(lián)網(wǎng)設(shè)備使用的本地網(wǎng)絡(luò)協(xié)議存在一定風險，會暴露關(guān)于家庭和家庭成員對設(shè)備的使用的敏感信息，這些信息是以一種不透明的方式收集的。在這一情況下，物聯(lián)網(wǎng)產(chǎn)品制造商、軟件開發(fā)者、平臺企業(yè)等需要采取相應(yīng)的措施來保護智能家居設(shè)備的安全和隱私，保障家庭用戶的權(quán)益。同時，政策制定者未來可以考慮針對智能家居本地網(wǎng)絡(luò)協(xié)議安全性制定相應(yīng)制度。