武曉莉

隨著人工智能和物聯網技術的普及，智能門鎖、智能馬桶、掃地機器人、智能全屋溫控、攝像頭等智能家居設備逐漸普及。值得注意的是，智能家居產品的敏感數據若被不法分子利用，可能造成信息泄露，威脅個人信息和財產安全。

目前智能家居設備存在哪些安全隱患？其技術原理是什么？如何防范智能家居設備侵犯個人信息安全？4月27日，記者對此進行了調查。

便捷背后存安全隱患

2021年，某品牌智能音箱被曝存在漏洞，攻擊者可利用藍牙協議漏洞遠程控制設備，即使在設備關閉的狀態下仍能監聽用戶。

現實生活中發生的智能家居設備安全風險案例層出不窮，比如破解智能馬桶的藍牙通信鏈路，通過藍牙發起連接，操縱馬桶蓋的開啟和關閉，自動噴水；入侵智能插座可以遠程開啟加熱裝置和電熨斗；通過捕獲藍牙信號，可以破解智能門鎖密碼，通過遠程惡意操作導致設備不可用；家庭攝像頭可以成為黑客的直播窗口。

“智能家居設備主要存在3方面安全隱患。”大消費行業分析師楊懷玉對記者說，“一是許多智能家居設備本身可能存在安全漏洞，黑客通過漏洞遠程控制設備，竊取用戶個人信息、破壞家庭設備等，二是智能家居設備通常通過互聯網進行通信，如果網絡安全措施不到位，黑客可能利用網絡攻擊手段破壞設備通信功能，甚至控制整個智能家居系統，三是智能家居設備存儲著用戶的個人數據，如使用習慣、偏好設置等，若設備或云服務的安全防護不足，黑客可能通過安全漏洞竊取數據，導致用戶隱私泄露和財產損失。”

白牌產品（通常指沒有品牌標識或標識不明顯的產品）接入非正規平臺，是業內人士認為造成智能家居設備安全隱患的另一個主要原因。360智慧生活集團副總裁孫浩對記者說：“一些智能家居硬件由于嵌入式平臺的性能限制，在網絡通信、安全加密等方面不規范的情況下，加上一些小平臺能力參差不齊，在硬件設備和云端通信、管理方面存在一定安全隱患。”

孫浩認為，目前智能攝像機、智能門鎖等品類產品依然存在白牌產品橫行的情況，這些產品因為帶有攝像頭，具備音視頻記錄、傳輸功能，對平臺能力、運營成本要求較高。很多白牌產品接入非正規云平臺，在平臺穩定性、安全性方面存在較大安全隱患。

正規平臺風險相對可控

“智能家居設備一般通過無線通信協議（如Wi-Fi、Zigbee、Bluetooth等）與家庭網絡或其他設備連接，并通過云端處理數據實現遠程控制。如果這些通信沒有妥善加密或者存在軟件漏洞，容易被黑客利用進行攻擊。”楊懷玉說，“比如，智能音箱依賴麥克風陣列和語音喚醒技術實現交互，若設備被植入惡意程序，其語音監聽功能可能被永久激活。攻擊者可通過遠程指令繞過‘喚醒詞’限制，持續錄制用戶對話并將數據加密傳輸。”

另外，部分攝像頭因未采用端到端加密或使用弱密碼，容易被黑客通過暴力破解或網絡釣魚獲取控制權，可能暴露用戶生活細節。一些低價智能門鎖采用簡單加密算法或未配備防撬傳感器，攻擊者可通過破解指紋模塊、復制臨時密碼或利用Wi-Fi漏洞，在數秒內開門甚至遠程解鎖。

“智能家居的云端平臺和傳統互聯網有著類似的通信加密和隱私處理機制，正規物聯網平臺風險相對安全可控。”孫浩說，“正規的物聯網云平臺針對硬件安全設計了較為完善的防護機制，設備端在出廠時寫入了‘一機一密’，每個設備的加密秘鑰均不同。出廠時從底層寫入，只有云端同時入庫后才可以和云端進行通信。在用戶使用過程中，通信信道和數據內容基于獨立的秘鑰雙重加密，數據存儲和秘鑰存儲隔離，APP端使用時單獨獲取，末端解密，能夠有效保護數據安全，保障隱私合規。”

拒絕盲目授予使用權限

消費者如何防范智能家居設備侵犯個人信息安全？專家認為，需要留意選購和使用兩個方面。“消費者購買時應選擇信譽良好的品牌，知名品牌往往有更嚴格的安全標準和審核機制。”楊懷玉說，“挑選合規設備優先選擇正規銷售渠道，并選擇通過國家安全認證的產品。”

孫浩認為，目前智能家居硬件行業魚龍混雜，電商平臺上仍有大量白牌產品在售，很多產品使用公版模具、電路板，并接入較小的平臺，產品沒有經過嚴格的認證測試，參數虛標、安規防護不足，接入的平臺在信息安全和隱私防護方面也存在較大風險。尤其是智能攝像機、智能門鎖等產品，白牌比例較高，消費者購買時需要注意辨別。

使用過程也是個人信息泄露的高發時期。孫浩說：“在使用方面，消費者要嚴格控制對應APP等云服務的授予權限。正常情況下，為了方便配網，APP會索取定位權限、聯網權限，但是絕大多數智能家居產品在APP端，不涉及錄音、聯系人讀取、應用列表讀取等權限。因此，在沒有任何提示說明的情況下，消費者切勿盲目授予使用權限。”

楊懷玉建議，消費者應定期更新軟件驅動，修補已知漏洞，提高安全性；使用強密碼和雙因素認證，以增加賬戶安全性，防止黑客破解密碼；限制網絡訪問，將智能家居設備隱藏在家庭局域網中，并限制外部訪問；使用加密手段，確保設備間通信和數據傳輸采用加密技術保護；避免使用公共Wi-Fi；關閉不必要的功能，減少潛在安全風險；妥善設置隱私權限，關閉非必要的數據收集和共享權限。