今日,中国信通院发布了《2019互联网设备-智能音箱安全白皮书》(以下简称白皮书),白皮书内容显示,随着近年来智能音箱发展迅猛,出货数量出现井喷式增长。智能音箱作为具有智能语音交互系统、互联网服务内容,同时可扩展更多设备和内容接入的互联网终端产品, 可为家庭消费者提供随时享受互联网时代的便利。但与此同时,频繁曝光的智能家居设备入侵、用户隐私数据窃取等事件表明智能音箱生态安全存在一定的安全风险。
为研究该风险具体情况和应对措施,中国泰尔实验室通过对主流智能音箱设备 抽样检测和分析,制定了《2019年互联网设备-智能音箱安全白皮书》。
白皮书显示智能音箱攻击者一般抱有两种目的,一是远程控制音箱,以音箱为翘板实现对所关联设备的控制;二是窃取用户隐私,无论是窃听用户生活日常、窃取用户录音,还是收集用户信息和日常生活习惯,皆可将收集信息作于不法用途。
中国泰尔实验室依据TAF标准《智能音箱产品安全能力技术要求和测试方法》(征求意见稿),按照行业销售量排名,此次对11个品牌的智能音箱产品进行安全抽测。
测试结果显示:70%的被测产品主板存留敏感丝印信息以及暴露 Test PIN。例如 JTAG、SWID、UART 等硬件接口用于设计时的前期调试,程序烧录,以及诊断测试。针对硬件上保留的调试接口,攻击者可以通过这些接口获取到大量实现上的细节信息。
此外,测试还发现90%的产品硬件存储芯片采用没有加密功能的芯片,这可以让攻击者基于不同的方式提取其中的关键信息。
在测试中,泰尔实验室还发现了智能音箱中一些典型问题,例如基于调试接口获取固件信息:智能设备在出厂后为了方便业务侧进行远程设备调试,多数设备不会移除调试串口或关闭调试端口。 测试人员在实际的检测中发现很多设备都存在此类漏洞:例如某款智能音箱同时存在未移除调试串口和调试端口未关闭的情况。攻击人员基于暴露接口,可以通过物理接触获取shell,然后提权获取ROOT 。
除了硬件部分,智能音箱在系统方面也暴露出问题。测试人员对被测产品系统进行漏洞扫描和人工排查发现,部分系统存在大量高危漏洞,且漏洞修复比例较低。一些产品甚至存在未修 复高危已知漏洞,攻击者可能利用已知漏洞,提权并对系统进行破坏或窃取用户账户信息等。尤其在固件更新层面,90%以上的固件升级更新机制实现不安全,大量升级操作存在固件不加密,没有对固件进行签名校验等漏洞。
互联网分析人士认为,由于智能音箱被认为是链接用户和网络之间的巨大流量入口,很多公司都在智能音箱上进行了布局,但是此次白皮书内容显示智能音箱在软硬件方面据存在技术漏洞,可能被黑客利用攻击,因此设计厂商除了产品利益驱动外,还要关注用户的个人信息安全,避免智能音箱成为黑客攻击目标。
《2019互联网设备-智能音箱安全白皮书》内容来源:中国泰尔实验室
相关热词搜索:信通院发布《2019互联网设备-智能音箱安全
上一篇:美光Q1营收净利双降,恢复对华为供货
下一篇:B站签约冯提莫,会是门好生意吗?
商界周刊版权及免责声明:
1、凡本网来源注明“商界周刊” 域名:WWW.SHANGJIEWANG.COM.CN的所有新闻稿件和图片作品,版权均属于商界周刊,未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用上述作品。已经本网授权使用新闻稿件和图片作品的,应在授权范围内使用,并注明“来源:商界周刊”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明 “来源:XXX(非商界周刊)”的新闻稿件和图片作品,系我方转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3、如因新闻稿件和图片作品的内容、版权和其它问题需要同本网联系的,请在15个工作日内告知我方。