Categories
程式開發

智能家居再曝漏洞:FBI警告用戶防範電視受到黑客攻擊


2018年5月,InfoQ曾報導過智能音箱竊聽事件,亞馬遜智能音箱Echo不僅偷錄了用戶的對話,還將這段對話隨機發給了用戶聯繫人列表中的一位朋友。事件曝光後引發了公眾對於智能設備的擔憂,然而就在近日,類似的事件再次發生了。

2019年11月26日,美國俄勒岡州聯邦調查局(FBI)發布了一篇文章,告知家中裝有智能電視的用戶注意隱私安全問題,不法分子有可能透過智能電視自帶的攝像頭、麥克風觀察甚至記錄用戶家中情況,雖然尚不清楚有哪些品牌的電視受到了影響,但該事件又一次將智能設備的安全性問題推上了風口。

FBI報告:智能電視也不安全

內置攝像頭成為黑客的“後門”

“雙十一”過去了,“黑五”過去了,家電產品想必是不少人下單的對象,然而大洋彼岸的FBI卻對這一設備發出了警告:你有可能正在被不法分子偷窺。

之所以將其稱為“智能電視”,是因為它們可以連接到互聯網,方便用戶使用流媒體服務和應用程序。而隨著AI技術的應用,對於有些懶得使用遙控器的用戶,只需要對著電視說出指令就可以完成一系列的操作。

新款的智能電視大都有內置攝像頭,因為廠家或解決方案提供商在某些情況下,需要使用攝像頭用於面部識別,以驗證用戶的身份,當然也可以方便用戶通過電視與家人、朋友進行視頻互動。

除了電視製造商和應用開發人員有可能聽到、看到用戶的日常之外,不法分子也有進行攻擊的可能性。

FBI警告道:黑客可以控制電視並向用戶的孩子展示不合適的節目或者視頻,甚至在某些情況下,他們可以在後台打開電視的攝像頭和麥克風,以無聲的方式進行竊聽、偷窺。

針對智能電視的攻擊

雖然針對智能電視的主動攻擊很少,但也並不是沒有發生過。

每台智能電視都配有製造商自己的軟件,並且受制於通常不可靠且不定期的安全補丁計劃,所以一些廠商的產品可能會更容易受到攻擊。比如今年1月,有黑客劫持了Google的Chromecast流媒體棒,並向成千上萬的受害者播放隨機視頻。

而更早的時候,大概在2017年左右,維基解密曾披露一系列針對三星智能電視產品的漏洞,一款被稱為“Weeping Angel(哭泣天使)”的工具被指出能夠提取瀏覽器以及WPA / Wi-Fi憑據和歷史記錄,還能夠在電視處在深度待機模式下運行。同時,這項披露還指出:用戶通過斷開WiFi連接的方式使無法避免的,因為這一工具可以偽造出WiFi已關閉的假象。

有意思的是,維基解密指出:這些針對智能電視的漏洞研究及工具是來源於美國的另一個安全情報機構——CIA,大概是為了更好地保護用戶隱私,對吧? :-)

如何保護隱私?還是採用物理方式吧

回到FBI的報告上來,他們給出了一些“應該能”保護用戶隱私的方式供參考:

  • 確切了解電視具有的功能以及如何控制這些功能。使用所購買型號電視+關鍵詞,如“麥克風”、“攝像頭”或“隱私”進行搜索,了解其安全情況。

  • 不要依賴默認的安全設置。如果可以的話,請更改密碼,並了解如何關閉麥克風、相機以及在可能的情況下收集個人信息的軟件。如果無法關閉,請考慮是否願意冒險購買該機型或使用該服務。

  • 如果實在無法關閉攝像頭,那麼貼上一條簡單的黑色膠帶就可以隔離風險。

  • 檢查製造商使用安全補丁更新設備的能力。

  • 檢查電視製造商和使用的流媒體服務的隱私政策。確認他們收集哪些數據,如何存儲該數據以及如何處理它們。

智能家居的安全性再受質疑

除了智能電視、智能音箱,似乎所有帶著“智能”兩個字的設備都不安全了。

2019年1月,來自美國伊利諾伊州的一對夫婦報警稱:有人利用他們的Nest安全攝像頭與自己的孩子交談,甚至用十分下流的詞語辱罵他們。對此Nest的母公司Google在一份聲明中表示,這對夫婦使用的Nest產品系統未受到破壞,可能是由於客戶“使用的密碼遭到破解……而這些秘密或許是用戶在其他網站上的暴露的。”

2018年6月,有不少來自英國的用戶表示自己的手機速度突然變慢,家裡的電費突然暴漲,但是並不知道這一切發生的原因是什麼。隨後一份安全部門發布的報告稱:黑客正在利用惡意軟件入侵用戶的智能手機、電視甚至冰箱,使其成為“挖礦”的工具。

智能設備為人們的生活帶來了便利,同時也帶來了一個看似“無解”的循環問題:想要享受設備的智能就要聯網,聯網就有被黑客攻擊的可能,而目前不少廠商在研發、製造的過程中,並沒有把設備的安全性放在第一位,其產品宣傳中過分地鼓吹其產品的智能、靈敏,也讓不少用戶短暫忘記了安全的重要性。

於是,用戶在不知不覺中失去了自己的隱私,更不知道那些被廠商收集的數據最終會流向哪裡,看似信息愈發透明的智能時代,用戶反而更像是看不見、聽不見的“聾啞人”。除了呼籲政府機關的立法與監督,製造商的良心也是保護用戶隱私的重要底線之一。