便利與安全之間智能家居與數據保護

常莽

根據預測，到2025年，全球將有超過1/5的家庭（精確數為21.3 %）使用智能家居設備。從這個角度來看，2020年的普及率將達到4.9 %。

您的隱私和網絡安全的成本是多少

盡管智能家居設備的普及是有充分原因的（包括：安全性、舒適性、便利性、健康性及娛樂性等），但有足夠多的報告表明，這些好處是以犧牲隱私和網絡安全為代價的。

研究表明，大多數人對智能設備提供商并不信任。根據ADT的一項調查，93 %的智能家居設備消費者擔心公司如何共享其數據。人類的警惕因素當然不會錯位，智能家居設備會收集非常多的個人信息，因此安全性至關重要。

數據安全問題

用戶對連接設備的恐懼是雙重的。一方面，有些供應商因未經授權的數據收集、使用和共享而造成泄露；另一方面，一些攻擊者會毫不猶豫地入侵設備并出于惡意目的訪問用戶數據。

未經授權的數據收集和使用（供應商）。

“新技術會引發新問題，”Surya Mattu在獲得2018年新聞技術獎時說道。這是Mattu與他的聯合記者Kashmir Hill一起獲得的獎項，他們一起研究了智能家居設備收集和共享有關其用戶的數據量。在實驗進行期間，通過建造專用路由器監視安裝在Hill公寓中的智能家居設備，Mattu能夠收集有關她和丈夫的個人數據，有時甚至是非常敏感的數據。

ESET的一項研究顯示，即使在保證用戶數據保護的隱私政策中，使用“但不限于”一詞也擴大了數據收集的潛力。同意這些條款可能會無意中使供應商不受限制地訪問和使用除政策中明確規定的其他形式的數據。

未經授權的數據訪問和入侵（攻擊者）。

2019年，出現了幾則有關Nest Cam IQ室內攝像機漏洞的報告，這些漏洞可能使黑客能夠劫持設備并中斷網絡。發現的漏洞包括拒絕服務（DOS）、代碼執行和信息泄露。與智能手機和筆記本電腦等其他設備相比，智能家居設備是“臭名昭著”的安全責任者。

卡巴斯基的一個團隊發現了一個安全漏洞，該漏洞使黑客能夠在測試研究中訪問Fibaro Home Center集線器上存儲的備份數據。備份數據包含所有者的個人信息，包括位置和聯系方式。除此之外，該團隊還利用遠程代碼執行漏洞來訪問智能集線器，和它所控制的所有設備以及家庭網絡。通過這種攻擊，幾乎沒有限制，從惡作劇到搶劫房屋，一切皆有可能。

智能家居設備可能面臨的攻擊示例。

中間人（MitM）攻擊使黑客能夠攔截2個設備之間的通信，以竊取個人信息，假冒一方或破壞數據等。

拒絕服務（DoS）攻擊會中斷設備或網絡，從而使合法用戶無法使用它。從幾年前發生的Mirai僵尸網絡攻擊可以看出，永久的DoS攻擊可能會對設備造成無法彌補的損害。

法規與政策

顯然，當前在規范智能家居設備的數據保護方面沒有達到期望。現有的一些最低限度法律包含含糊不清的規定，使數據保護問題復雜化（GDPR和CCPA是解決智能家居設備的2個主要法律）。

GDPR

歐盟通用數據保護條例控制著企業收集以及個人數據的使用和共享。數據包括智能家居設備供應商。GDPR不會阻止數據的使用和收集。但重要的是，它迫使公司在處理用戶數據方面變得透明，并賦予消費者更多控制其數據的能力。

注冊會計師

年初引入的《消費者隱私法》理應引起人們的歡迎。該法案包括專門針對物聯網安全的部分。被認為是IoT安全法的要求，連接設備的制造商必須“為設備配備合理的安全功能”。

但是，案文含糊不清使事情復雜化，因此，該法律被認為不足以保證物聯網安全。現實情況是，全球沒有足夠的法規來確保智能家居設備的安全。也許，該技術的發展速度超過了法律所能跟上的速度，這意味著智能家居設備的用戶負有保護數據安全的巨大責任。

智能家居安全

權限

智能設備默認情況下設置了一些權限，因此，購買智能設備后首先要采取的措施之一就是檢查所有權限并拒絕不需要的權限。權限設置使您可以確定數據的使用方式，以及共享和集成其他設備和應用程序的控件，拒絕干擾或不滿意的權限。請注意，最好將任何可編輯路由器設置的權限視為潛在威脅。

安全訪問

請遵守基本的安全規定，以防止設備受到未經授權的入侵。對于密碼，要將默認密碼更改為容易記住的強密碼，并定期更改這些密碼以保護對設備的訪問。

另一個重要措施是啟用多因素身份驗證，這提供了附加的身份驗證層，即使入侵者知道您的密碼和用戶名，也很難入侵訪問帳戶。

網絡隔離

根據設備的行為來隔離網絡，可幫助您保護個人和最敏感的數據。將所有物聯網設備分成設備與智能手機，設備與筆記本電腦等保持在單獨的網絡上。做到這一點的基本方法是使用不同的路由器，許多WiFi路由器允許創建虛擬網絡，這些虛擬網絡可以作為單獨的網絡運行，在同一網絡上運行，您只需要知道如何設置他們。

最后，那些將便利視為安全之敵的人并不完全是錯誤的，將更嚴格的安全措施應用于智能家居設備會減輕許擔憂，沒有人會因為揚聲器或照明系統已連接到互聯網而放棄隱私。

然而，不放棄隱私仍然是目標，畢竟ADT報告還指出，不到40 %的受訪者根本沒有采取任何隱私數據保護措施。