近日,由知名研究機構IMDEA網絡和美國東北大學領導的國際研究團隊與多家高校和科研機構合作發布新的研究成果,公布了關于智能家居中不透明和技術復雜的物聯網設備日益普及所帶來的安全和隱私挑戰的突破性發現。
研究表明,物聯網設備使用的本地網絡協議沒有得到充分保護,暴露了家庭和使用設備的敏感信息。目前,智能家居已滲透到中國8000多萬家庭中,到2028年預計近2億家庭擁有智能家居產品,安全問題無小事,而本地網絡的安全隱患以更隱蔽的方式發生,需要業界提前重視并采取相應措施。
在家庭中不斷增長的滲透率,智能家居安全問題至關重要
對于很多家庭來說,智能家居已不是陌生產品,日常生活中家庭很多智能產品持續帶來便利,甚至在一定程度上改變了人們的生活習慣。不過,由于智能家居需要使用各類連接方式接入互聯網,安全和隱私問題成為不可避免的一個話題,尤其是智能家居使用的場景正是比較私密的家庭空間,保護安全和隱私是業界的重要責任。
近年來,隨著人們生活水平提升,消費結構的升級以及新的消費理念不斷出現,智能家居產業得到快速發展,目前已形成一個不可忽視的規模化市場。
根據市場調研機構Statista統計數據,2022年中國智能家居市場規模已達到233億美元,2022-2028年期間這一市場預計保持13.47%的年復合增速,到2028年最終將達到520億美元的市場規模。在家庭應用方面,2022年智能家居在中國家庭的滲透率為16.6%,即有8000多萬戶家庭采用了智能家居產品,Statista預計到2028年中國智能家居的活躍用戶數將達到1.91億戶,這意味著有1.91億戶家庭在日常生活中都將高頻率使用智能家居產品,占所有家庭戶的比例達到39.2%,滲透率已接近4成。
美國智能家居市場位居全球首位,Statista統計數據顯示,2022年美國智能家居市場規模為309億美元,到2028年這一數據預計將達到550億美元。2022年美國智能家居在家庭中的滲透率已達到43.8%,到2028年這一滲透率將高達75.1%,屆時有1.03億戶美國家庭將高頻使用智能家居產品。
相比美國,中國的智能家居市場目前的規模和單家庭貢獻率還不高,2022年中國已使用智能家居的家庭中,在智能家居產品方面的支出為297.5美元,而美國這一數據為536.2美元。不過,未來幾年中美智能家居市場規模差距不斷縮小,中國的智能家居家庭用戶的戶均支出持續提升,顯示了巨大的發展潛力。
隨著技術的不斷進步,以及家庭用戶對于便利性、能源效率等方面的需求,智能家居市場會持續增長。從Statista的預測數據可以看出,未來5年中國智能家電、家庭安防、家庭娛樂、家庭控制和連接等方面的智能家居產品市場規模較大,尤其是智能家電一直占據近一半的市場份額。
當然,智能家居普及的背后,是不斷升級的網絡安全和數據安全技術廣泛采用。在家庭生活中,這些設備有攝像頭、麥克風和其他方式來感知我們家里私密的空間和家中成員正在發生的事情,我們能相信我們家中的這些設備正在安全地處理和保護它們可以訪問的敏感數據嗎?換一個角度,對于設備廠商和智能化接近方案廠商來說,未來數以億計的家庭使用智能家居產品,廠商們必須確保給家庭用戶提供的是一個可信和安全的環境,否則這一行業就沒有存在的基礎。
房間內的數據安全和隱私威脅:智能家居面臨的新挑戰
針對智能家居安全隱私的研究,此前更多集中在這些物聯網設備如何與云服務之間的安全性,識別兩者交互過程中的漏洞,揭示了大量智能家居終端和云端交互中信息泄露的實例,并持續檢測暴露于互聯網的、易受攻擊的物聯網設備,這方面已有很多有效成果。
然而,在家庭之內,同一本地網絡上的物聯網設備之間的通信對于平臺和設備的互操作性、安全性、隱私性也具有重要意義,針對家庭本地網絡中物聯網設備之間以及設備和APP之間持續無縫交互造成的安全和隱私威脅研究較少。
IMDEA網絡本次新的研究成果就是專門針對智能家居本地網絡安全隱私的方向。研究團隊在近期舉行的ACM IMC’23學術大會上發表的一篇名為《In the Room Where It Happens: Characterizing Local Communication and Threats in Smart Homes》的論文,首次深入研究93種家庭物聯網設備和移動應用之間在本地網絡交互的復雜性,揭示了大量以前未公開的具有實際現實意義的安全和隱私問題。
物聯網設備不僅通過外部互聯網進行通信,還可以與本地網絡上運行的其他設備和軟件服務進行通信。目前,一些大型企業發布的智能家居平臺包括了為發現、連接和管理物聯網設備提供的支持和協議,從而實現物聯網供應商、設備和平臺之間的互操作性。通用的互操作協議如UPnP、mDNS等已被廣泛應用于智能家居,可以即插即用地實現智能家居設備地網絡發現和協同工作,還有一些專有的互操作協議如Matter。
雖然大多數用戶通常將本地網絡視為可信和安全的環境,但IMDEA的研究發現揭示新威脅,即本地網絡中的物聯網設備使用標準協議也可能暴露敏感數據,如UPnP或mDNS等協議,這些新的威脅此前被忽視,包括暴露唯一的設備名稱、UUIDs以及家庭地理位置數據,所有這些都可以在用戶不知情的情況下被參與監控的公司獲取。
研究人員搭建的威脅模型中,考慮的是家庭本地網絡中的物聯網設備或軟件,可以利用設備漏洞或網絡協議,從同一本地網絡中的其他設備收集隱私和敏感數據,這種攻擊在互聯網上是不可能實現,然而在一個家庭之內的設備之間可以實現,這一潛在的安全隱患值得高度重視。
研究團隊的一位專家表示,他們發現了物聯網設備無意中會暴露至少一個PII(個人可識別信息)的證據,包括如在成千上萬個真實世界的智能家居設備的唯一硬件地址(MAC)、UUID或唯一設備名稱。任何一個單獨的PII都有助于識別一個家庭,雖然無法精準識別,但是將這三者結合在一起會使一個家庭描述非常獨特,很容易直接識別到家庭的重要信息。該專家指出,如果一個智能家居擁有所有這三種類型的標識符,至少可以在112萬個家庭中精準找到一個家庭。
因此,這些本地網絡協議可以作為訪問家庭物聯網設備數據的輔助渠道,而這些物聯網數據本應受到移動APP權限保護。不過,研究人員發現,某些間諜軟件、應用程序和廣告公司確實在濫用本地網絡協議,在用戶毫無察覺的情況下悄悄訪問此類敏感信息。這些威脅是真實存在的,例如華爾街日報曾報道過谷歌禁用的一個隱藏獲取數據的APP,這個應用有一個嵌入的間諜軟件SDK,可以向很多局域網發送廣播消息,對其他設備進行指紋識別,將設備的標識符和位置數據過濾至云端。
該團隊的研究表明,物聯網設備使用的本地網絡協議存在一定風險,會暴露關于家庭和家庭成員對設備的使用的敏感信息,這些信息是以一種不透明的方式收集的。在這一情況下,物聯網產品制造商、軟件開發者、平臺企業等需要采取相應的措施來保護智能家居設備的安全和隱私,保障家庭用戶的權益。同時,政策制定者未來可以考慮針對智能家居本地網絡協議安全性制定相應制度。
