中国评测3·15专题 | 您家的智能音箱安全吗?
2022-03-15 18:28:36 来源: 光明网
一、智能音箱产业发展现状
随着智能音箱的飞速发展,有屏、无屏音箱持续分化。一种是在传统智能音箱进一步“升级”,通过增加屏幕、摄像头逐渐向家用平板/智慧屏靠近。另一种则是进一步轻量化、无线化和模块化,主要定位智能家居的智能音频控制/交互入口,未来将嵌入到更多家居/家电内,智能音箱将继续渗透。根据IDC发布的《中国智能音箱零售市场月度追踪》报告显示,2021年中国智能音箱市场销量为3654万台,同比增长20.1%,预期2022年市场销量将达到3725万台,随着销量不断攀升,智能音箱已经走进千家万户。
二、智能音箱主要安全风险
随着智能音箱功能逐渐多元化,信息技术手段愈发复杂,其安全风险主要分为以下两个方面。
一是因为智能音箱所集成的功能多样化,交互接口数量增长,可能被攻击的入口逐渐增多,安全风险不断扩大。2019年, Google Home被中国安全专家攻破,攻击者可以通过远程指令操控目标设备。如果事件一旦升级,可能导致数百万用户个人信息泄露,轻则导致用户遭受诈骗、资金被盗用,重则导致用户的人身安全受到危害,影响社会稳定。
二是智能音箱产品定位及个性化功能产生的需求,收集了大量用户隐私信息及交互数据,可能产生违规收集用户个人数据的安全隐患。2019年,彭博社披露了亚马逊雇佣数千员工监听旗下智能音箱Amazon Echo用户的日常录音,甚至将1700余用户的语音数据违规泄露。导致用户在不知不觉间受到了电商骚扰、电信诈骗等一系列影响。
三、智能音箱安全测评主要内容与发现
中国软件评测中心选取了市面畅销的多台有屏智能音箱和无屏智能音箱,从网络安全、数据安全和个人信息安全等多个角度进行测评。
(一)智能音箱网络安全与数据安全
1、智能音箱App安全
测评专家测试了智能音箱App安全方面,包括组件安全检测、Manifest文件检测、Webview安全检测、网络通信安全检测、弱加密风险检测、数据安全检测、系统漏洞检测、so文件风险检测、隐私权限检测、隐私行为检测等测试项。在测试过程中专家通过对.apk文件进行反编译,采用自动化扫描与人工渗透相结合的技术手段发现存在的安全问题。
图1 安全检测项
经测评,测评范围内的智能音箱App均未检测出严重漏洞,能够有效避免用户信息泄露。
2、智能音箱通信数据传输安全
测评专家在智能音箱系统与服务器端的通信过程中,动态采集传输的网络数据。针对智能音箱联网通信和连接维护全过程的加密算法方面,使用Wireshark工具和人工审计的方式,进行了安全分析和评估。
经测评,某智能音箱设备在与服务器端进行通信过程中,存在日志文件明文传输,导致用户敏感信息泄露等问题。传输的日志中包含设备信息、日志信息和语音转换出的文本信息,造成了信息泄露。测评记录如图2,为唤醒设备后对设备下达语音命令的文本信息和智能音箱输出语音的日志记录。
3、智能音箱系统与固件升级安全
测评专家首先对智能音箱系统与固件做了降级风险测试,发现大部分设备采取了“升级检测”和“固件签名”的措施,锁定了串口和USB接口,用户无法自行降级,保护了智能音箱的安全。其次,专家对智能音箱固件更新请求通信过程进行了分析,通过分析更新请求数据包,发现部分设备通过HTTP协议明文传输固件升级请求。从数据包中可以获取固件下载地址,引发固件泄露风险。同时,使用不安全的通信协议可能面临中间人攻击的风险。
经测评,部分智能音箱固件升级通信过程存在URL暴露风险,可能发生固件泄露事件。
(二)智能音箱用户个人信息安全
1、个人信息收集使用规则
为了给用户提供更加精准的定制化服务,智能音箱会收集用户的个人信息,包括位置信息、通讯录信息、音视频信息等敏感数据。中国软件评测中心对多款音箱的个人信息收集使用规则进行了合规性检测,具体检测内容如表1所示。
在对个人信息收集使用规则进行检测的过程中,测评专家主要对各智能音箱产品的隐私政策进行了详细解读,并对其中存在的一些疑问与企业进行了访谈。参与测评的智能音响产品都拥有完整的个人信息保护政策,并且能够在实际应用中付诸实践。
但智能音箱在收集使用个人信息的过程中,仍存在过度收集用户个人信息的情况。例如,在进入智能音箱App之后,会自动收集用户语音数据用于模型训练但未对用户进行明显提示。部分产品的隐私声明未对个人信息的采集频率以及存储时间进行明确说明。
智能音箱在收集使用个人信息的过程中,存在过度收集用户个人信息的情况,未能对个人信息的采集频率以及存储时间进行明确说明。
2、个人信息主体注销账户
用户对智能音箱存储的个人用户信息应该完全可控,在用户要求进行账户注销或用户数据销毁时,智能音箱、控制端App或云端服务应向用户提供简单便捷的操作方式,并且在注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个功能视同注销主体账号,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。
经过对参与测评的智能音箱产品进行检测,部分智能音箱账户注销及用户数据销毁仍存在难题。当用户注销智能音箱账户时,会将此账户下所有产品及服务注销,使用户管理个人信息增加了诸多不便。
四、中国评测相关建议
中国软件评测中心针对以上测评内容,从企业和用户的角度出发为智能音箱安全建设提出以下建议。
(一)对智能音箱企业的建议
1、加强产品网络和数据安全合规建设
在网络安全层面,可以从以下三个方面加强产品的安全保障。一是对于智能音箱操作系统的漏洞及时进行修复,加强系统配置安全和端口安全管理;二是对系统固件和移动应用进行安全加固,包括但不限于签名校验、加壳、防内存修改等手段;三是在服务器端和智能音箱App引入并重视安全测试,定期开展渗透测试和风险评估。
在数据安全层面,应落实《数据安全法》《个人信息保护法》的相关规定,进行数据全生命周期安全防护,做到收集信息应授权、传输存储应加密、加工使用应脱敏、删除数据应彻底、提供公开应合法。
2、规范对用户个人信息的收集使用规则
产品在收集用户个人信息等方面应不具备强制性,根据功能将用户信息收集模块化,不因某信息用户未授权而拒绝提供服务。
在收集、使用用户个人信息过程中,应对收集信息的内容、方式、范围、目的、频次、精准度等进行详细说明,其中,对于用户敏感信息的收集,应有明显提示;对于个人信息的使用,如是否会向第三方、境外提供数据应进行详细说明;对于个人信息的撤销授权、申请删除、投诉举报的渠道和方法,应提供全面且便于理解的操作说明。
(二)对智能音箱用户的建议
1、关注产品收集使用个人信息规则
关注产品收集和使用个人信息规则,可以从以下两个方面进行。一是关注注册信息,在隐私协议中详细查阅产品收集的内容、目的、频次、精确度等内容,并明确其加工、使用、第三方共享的条款内容,保障自身利益;二是注册并登录后,进入设置或用户授权管理等页面,查看产品授权信息,并依据需求关闭敏感信息的授权。如遇强制收集或违法使用个人信息的情况,应及时向监管部门进行举报。
2、关注账号信息安全
智能音箱控制端账号通常为多App、多产品共用。而智能音箱作为智能家居的控制入口之一,具备控制其他设备的功能,其账号一旦泄露或被窃取,登录了其他智能音箱设备,安全风险会通过智能音箱放大,造成更大威胁。账号密码应具备一定复杂度并定期更换,避免与其他账户公用密码,不要点击他人发送的可疑链接。
3、关注废旧设备个人信息处理
智能音箱设备即便已经丢弃,但存在里面的数据仍有泄露的风险。经测评发现多个品牌智能音箱,在离开主人并接入新的网络环境后,未经验证即可正常控制原账号下绑定的设备,甚至部分有屏音箱,可以直接查看其绑定的摄像头。建议用户在丢弃产品前应退出个人账号、删除设备信息或重置设备,同时选取较为安全的丢弃方式,如选择可靠的废旧电子设备回收机构。
标签:
为您推荐
精彩放送
热门文章
-
看好拉美业务中长期增长前景 安信国际将伟禄目标价调至18.5港元
-
陆金所控股一季度净利润同比增6.5% 八成新增借款流向小微企业
-
深圳共享单车市场或将重塑 暂不发展互联网租赁电动自行车
-
高管撑股价13家上市银行获增持 后续走势值得期待
-
A股退市名单再添两家 年内退市公司增至25家
-
年内可转债募资超千亿元 募资规模略低于去年同期
-
北交所首家转板公司诞生!观典防务在科创板上市
-
南京银行第4次被股东增持 城商行为何受“青睐”?
-
多家中小银行下调存款利率 存款降息潮是否来临?
-
南下资金持续流入港股 年内增持中海油等43只港股逾亿股
-
降息“靴子”落地!深圳银行均已执行最新LPR报价
-
韦尔股份增持北京君正 增持后累计持有不超过5000万股
精彩图片
-
迄今最具破坏力小行星将掠过地球 飞行速度比高速飞行子弹快20倍
-
全球变暖影响人们睡眠时间 每年平均失去44小时睡眠时长
-
“下一代奇迹材料”石墨炔首创成功 填补碳材料科学空白
-
早期动物五亿多年前已形成复杂生态群落 为寒武纪大爆发奠定基础
-
西藏察隅发现中国最高树 高达83.2米胸径207厘米
-
揭示月背月壤粗细规律!月球表面年龄与月壤内部非均匀性呈正相关
-
长期暴露于野火中的居住人群 脑瘤发病率提高10%
-
研究发现:海草底部蔗糖浓度约比记录高80倍
-
4月苍穹精彩纷呈 群星“成团出道”
-
科学家发现新方法 提高鹿角珊瑚种植成功率
-
湖南首创数字贸易综合服务平台 1.2万家企业入驻
-
研究:每周吃5次或更少的肉与较低的总体癌症风险相关
热文
-
美巢专注家装环保辅料领域,致力于打造室内完美墙面
-
中视酒业供应链十大解决方案突破行业痛点多方共赢!
-
沈腾、马丽今晚做客“蘑菇屋“ 容声冰箱为新鲜美食保驾护航
-
资管机构遭仿冒,hopingclub华英会紧急澄清,请投资者提高警惕
-
QCY AilyPods蓝牙耳机预售10分钟破千台:够小够轻够性价比!
-
坚果投影仪O1和峰米R1 Nano,居家观影必备!
-
轻燃卡卡:轻体健康领域品牌林立,轻燃卡卡凭什么破圈出局?
-
数据表明母婴的风口要来了 选择靠谱的品牌是关键
-
郑明明抗皱凝时胶囊精华有效吗?要怎么用呢?
-
青海省商业性住房贷款利率下调 首套房贷利率调整为4.8%
-
太原多家楼盘已按房贷利率新标办贷 太原市民购房能省多少钱?
-
前5月兰州新区商品房销售面积环比增长约12% 价格同比增2.75%
-
5.26苏州楼市成交稳定 住宅房源共成交34367.37㎡
-
高管撑股价13家上市银行获增持 后续走势值得期待
-
A股退市名单再添两家 年内退市公司增至25家
-
银保监会拟全方位透视险企综合风险水平 全新划分风险等级
-
年内可转债募资超千亿元 募资规模略低于去年同期
-
前四月发放就业补贴超亿元 惠及高校毕业生3.8万人次
-
618选机困难症?一文读懂iQOO Neo6 SE、红米 Note 11T Pro怎么选
-
2022冰箱高峰论坛成功举办,海信真空冰箱获权威肯定
-
股票哪些技术指标最有用?如何设置股票技术指标参数?
-
深港通的标的股有哪些? 什么股票属于深港通?
-
95开头的电话能接不?9521是什么电话?
-
上折和下折什么意思? 现货折盘价是什么意思?
-
余额宝双休日也有收益吗? 零钱通周末有收益吗?
-
深发展信用卡怎么样?信用卡申请进度查询方法是什么?
-
余额宝转出10万要多久?余额宝实时到账吗?
-
乐蜂网创建时间是什么时候?乐蜂网还存在吗?
-
信用卡积分兑换订单怎么查询?5000积分兑换多少话费?
-
国美电器是做什么的董事长是谁?国美有哪些股票代码?
-
腾讯持有快手多少股票?快手与腾讯是什么关系?
-
余额宝一万块钱一天收益多少?余额宝可以当日提现吗?
-
中欧基金刘建平:优化机制和文化 提升专业能力 切实保护投资者利益
-
稻香村集团(山东公司)一行到访山东朱氏药业集团参观交流
-
蓝湾壳寡糖和壳寡糖益生菌 为您保肝护菌
-
品效双赢,“抖音520宠爱季”引领行业加倍“宠爱”
-
朱氏药业集团朱坤福:把握爆品时代机遇、迈进品牌时代新征程
-
招行信用卡借势金融科技,为客户创造更多价值
-
高新科技培育钻石,或掀时尚界新热潮
-
连续四年!用友精智成为国家级跨行业跨领域工业互联网平台
-
北交所首家转板公司诞生!观典防务在科创板上市
-
hoping club华英会成功的十个法则
-
618购游戏神机iQOO Neo6超优惠,至高24期免息+全程价保+保值换新
-
2022年新形象!AMIRO品牌全新视觉升级!
-
贵州酱酒集团“启航”,助力贵州白酒产业产业升级、产区发展
-
赛克斯发布2022年英国度假屋出租市场展望报告
-
江山欧派以动求变,实现逆势增长,2021年营收增4.84%
-
焕白新篇章,伊肤泉美白祛斑,暗沉肌再回白嫩态
-
魅力舞台 倾情演绎:宜宾天立学校举办第六届戏剧节
-
重磅发布!全景求是荣获“2021年度最佳人力资源服务机构”