本文来自物联网智库,作者/赵小飞。
近日,由知名研究机构IMDEA网络和美国东北大学领导的国际研究团队与多家高校和科研机构合作发布新的研究成果,公布了关于智能家居中不透明和技术复杂的物联网设备日益普及所带来的安全和隐私挑战的突破性发现。
研究表明,物联网设备使用的本地网络协议没有得到充分保护,暴露了家庭和使用设备的敏感信息。目前,智能家居已渗透到中国8000多万家庭中,到2028年预计近2亿家庭拥有智能家居产品,安全问题无小事,而本地网络的安全隐患以更隐蔽的方式发生,需要业界提前重视并采取相应措施。
在家庭中不断增长的渗透率,智能家居安全问题至关重要
对于很多家庭来说,智能家居已不是陌生产品,日常生活中家庭很多智能产品持续带来便利,甚至在一定程度上改变了人们的生活习惯。不过,由于智能家居需要使用各类连接方式接入互联网,安全和隐私问题成为不可避免的一个话题,尤其是智能家居使用的场景正是比较私密的家庭空间,保护安全和隐私是业界的重要责任。
近年来,随着人们生活水平提升,消费结构的升级以及新的消费理念不断出现,智能家居产业得到快速发展,目前已形成一个不可忽视的规模化市场。
根据市场调研机构Statista统计数据,2022年中国智能家居市场规模已达到233亿美元,2022-2028年期间这一市场预计保持13.47%的年复合增速,到2028年最终将达到520亿美元的市场规模。在家庭应用方面,2022年智能家居在中国家庭的渗透率为16.6%,即有8000多万户家庭采用了智能家居产品,Statista预计到2028年中国智能家居的活跃用户数将达到1.91亿户,这意味着有1.91亿户家庭在日常生活中都将高频率使用智能家居产品,占所有家庭户的比例达到39.2%,渗透率已接近4成。
美国智能家居市场位居全球首位,Statista统计数据显示,2022年美国智能家居市场规模为309亿美元,到2028年这一数据预计将达到550亿美元。2022年美国智能家居在家庭中的渗透率已达到43.8%,到2028年这一渗透率将高达75.1%,届时有1.03亿户美国家庭将高频使用智能家居产品。
相比美国,中国的智能家居市场目前的规模和单家庭贡献率还不高,2022年中国已使用智能家居的家庭中,在智能家居产品方面的支出为297.5美元,而美国这一数据为536.2美元。不过,未来几年中美智能家居市场规模差距不断缩小,中国的智能家居家庭用户的户均支出持续提升,显示了巨大的发展潜力。
随着技术的不断进步,以及家庭用户对于便利性、能源效率等方面的需求,智能家居市场会持续增长。从Statista的预测数据可以看出,未来5年中国智能家电、家庭安防、家庭娱乐、家庭控制和连接等方面的智能家居产品市场规模较大,尤其是智能家电一直占据近一半的市场份额。
当然,智能家居普及的背后,是不断升级的网络安全和数据安全技术广泛采用。在家庭生活中,这些设备有摄像头、麦克风和其他方式来感知我们家里私密的空间和家中成员正在发生的事情,我们能相信我们家中的这些设备正在安全地处理和保护它们可以访问的敏感数据吗?换一个角度,对于设备厂商和智能化接近方案厂商来说,未来数以亿计的家庭使用智能家居产品,厂商们必须确保给家庭用户提供的是一个可信和安全的环境,否则这一行业就没有存在的基础。
房间内的数据安全和隐私威胁:智能家居面临的新挑战
针对智能家居安全隐私的研究,此前更多集中在这些物联网设备如何与云服务之间的安全性,识别两者交互过程中的漏洞,揭示了大量智能家居终端和云端交互中信息泄露的实例,并持续检测暴露于互联网的、易受攻击的物联网设备,这方面已有很多有效成果。
然而,在家庭之内,同一本地网络上的物联网设备之间的通信对于平台和设备的互操作性、安全性、隐私性也具有重要意义,针对家庭本地网络中物联网设备之间以及设备和APP之间持续无缝交互造成的安全和隐私威胁研究较少。
IMDEA网络本次新的研究成果就是专门针对智能家居本地网络安全隐私的方向。研究团队在近期举行的ACM IMC’23学术大会上发表的一篇名为《In the Room Where It Happens:Characterizing Local Communication and Threats in Smart Homes》的论文,首次深入研究93种家庭物联网设备和移动应用之间在本地网络交互的复杂性,揭示了大量以前未公开的具有实际现实意义的安全和隐私问题。
物联网设备不仅通过外部互联网进行通信,还可以与本地网络上运行的其他设备和软件服务进行通信。目前,一些大型企业发布的智能家居平台包括了为发现、连接和管理物联网设备提供的支持和协议,从而实现物联网供应商、设备和平台之间的互操作性。通用的互操作协议如UPnP、mDNS等已被广泛应用于智能家居,可以即插即用地实现智能家居设备地网络发现和协同工作,还有一些专有的互操作协议如Matter。
虽然大多数用户通常将本地网络视为可信和安全的环境,但IMDEA的研究发现揭示新威胁,即本地网络中的物联网设备使用标准协议也可能暴露敏感数据,如UPnP或mDNS等协议,这些新的威胁此前被忽视,包括暴露唯一的设备名称、UUIDs以及家庭地理位置数据,所有这些都可以在用户不知情的情况下被参与监控的公司获取。
研究人员搭建的威胁模型中,考虑的是家庭本地网络中的物联网设备或软件,可以利用设备漏洞或网络协议,从同一本地网络中的其他设备收集隐私和敏感数据,这种攻击在互联网上是不可能实现,然而在一个家庭之内的设备之间可以实现,这一潜在的安全隐患值得高度重视。
研究团队的一位专家表示,他们发现了物联网设备无意中会暴露至少一个PII(个人可识别信息)的证据,包括如在成千上万个真实世界的智能家居设备的唯一硬件地址(MAC)、UUID或唯一设备名称。任何一个单独的PII都有助于识别一个家庭,虽然无法精准识别,但是将这三者结合在一起会使一个家庭描述非常独特,很容易直接识别到家庭的重要信息。该专家指出,如果一个智能家居拥有所有这三种类型的标识符,至少可以在112万个家庭中精准找到一个家庭。
因此,这些本地网络协议可以作为访问家庭物联网设备数据的辅助渠道,而这些物联网数据本应受到移动APP权限保护。不过,研究人员发现,某些间谍软件、应用程序和广告公司确实在滥用本地网络协议,在用户毫无察觉的情况下悄悄访问此类敏感信息。这些威胁是真实存在的,例如华尔街日报曾报道过谷歌禁用的一个隐藏获取数据的APP,这个应用有一个嵌入的间谍软件SDK,可以向很多局域网发送广播消息,对其他设备进行指纹识别,将设备的标识符和位置数据过滤至云端。
该团队的研究表明,物联网设备使用的本地网络协议存在一定风险,会暴露关于家庭和家庭成员对设备的使用的敏感信息,这些信息是以一种不透明的方式收集的。在这一情况下,物联网产品制造商、软件开发者、平台企业等需要采取相应的措施来保护智能家居设备的安全和隐私,保障家庭用户的权益。同时,政策制定者未来可以考虑针对智能家居本地网络协议安全性制定相应制度。