從智能家居淺談網絡安全問題及其對策

安創文 劉祥 余旖

深圳市計量質量檢測研究院 廣東 深圳 518055

引言

近年來，家居產品普及率及滲透率逐年增加，且安全問題與公民的人體健康和人身、財產安全息息相關，通過智能家居調研數據能夠很大程度上反映出我國網絡安全現狀及風險隱患。

1 智能家居概述

1.1 智能家居的定義

智能家居可以定義為一個目標或者一個系統。利用先進的計算機、網絡通信、自動控制等技術，將與家庭生活有關的各種應用子系統有機地結合在一起，通過綜合管理，讓家庭生活更舒適、安全、有效和節能。智能家居不僅具有傳統的居住功能，還能提供舒適安全、高效節能、具有高度人性化的生活空間；將一批原來被動靜止的家居設備轉變為具有“智慧”的工具，提供全方位的信息交換功能，幫助家庭與外部保持信息交流暢通，優化人們的生活方式，幫助人們有效地安排時間，增強家庭生活的安全性，并為家庭節省能源費用等。

智能家居可實現的主要功能與服務如表1。

表1 智能家居可實現的功能與服務

1.2 智能家居的發展

智能家居作為一個新生產業，處于一個導入期與成長期的臨界點，市場消費觀念還未形成，但隨著智能家居市場推廣普及的進一步落實，培養起消費者的使用習慣，智能家居市場的消費潛力必然是巨大的。正因為如此，國內優秀的智能家居生產企業愈來愈重視對行業市場的研究，特別是對企業發展環境和客戶需求趨勢變化的深入研究。

家電廠商轉型升級不單是擁抱互聯網，首先要做的是以全新的物聯網、通信、云計算等技術迎接機遇和挑戰，在智能方面，家電廠商面臨三大關鍵問題。

1.2.1 技術攻克。一臺智能家電的“智能”方面，應有功能和功能觸發方式兩部分，前者包括監測、感知、學習、分析、判斷等能力，后者則是指人機交互的形式或方法，如本地控制、移動端（手機、平板、手環、戒指等）控制、語音控制、手勢控制、全息管理等。家電廠商大多有一定的自動化技術積累，但傳感技術和控制技術或成短板，需增大投入與不斷積攢。

1.2.2 標準缺乏。在“互聯網+”的背景下，家電廠商要智能升級，首先需要解決連接的問題，包括聯網和連物，所以它們應該掌握“+互聯網”，并且擁有“物聯網思維”，結合二者的方法論構建設備之間的聯系。目前，家電廠商的主要策略是在家電中植入通信模塊（如Wi-Fi），實現多款家電同一應用軟件控制，但物物相聯的標準仍懸而未決，沒有統一的標準供廠商參考與規范。

1.2.3 安全保障。家居產品除傳統安全標準需遵循外，又多了一項網絡信息安全問題，網絡信息安全隱患是物聯網行業的難題，家電廠商需要謹慎對待。智能硬件安全問題頻繁曝出，無人機、網絡攝像頭、汽車、洗衣機、烤箱等多款智能硬件無一幸免，全部淪為黑客的攻擊對象，迅速慘遭破解。智能家居的網絡信息安全包括身份認證、權限管理、通信加密、身份識別等，若發生用戶信息丟失，不僅會造成用戶隱私泄露，同時還會導致信息安全印發的電器安全問題，對人身財產安全和個人隱私問題都將帶來嚴重危害。

2 智能家居網絡安全現狀

智能家居產品種類眾多，2018年國家對智能家居產品的應用軟件進行風險監督抽查，包括電視、音箱、空調和冰箱。應用軟件的各類安全問題（如身份鑒別、通信安全、數據安全、訪問控制、運行安全等）普遍存在，智能家居產品被惡意控制或用戶隱私泄露風險隨時可能發生。與傳統電器安全相比，智能家居產品的應用軟件安全隱患更為嚴重。

2.1 智能家居網絡安全風險監測方法

本文對智能電視、智能空調和智能音箱三類常見產品的應用軟件風險監測進行分析。抽樣原則為盡可能選擇市場銷量排名靠前的品牌，覆蓋不同檔次，采樣渠道包含實體店與網絡兩種方式。風險監測方法主要依據標準GB/T 22239-2008、GB/T 34975-2017、GB/T 35273-2017[1-3]，風險監測項目和方法見表2。

表2 風險監測方法

2.2 智能家居網絡風險監測結果

對智能電視、智能空調、智能音箱三類產品分別采樣15批次、15批次、21批次進行監測，樣品分類和采樣數量如表3-5所示。

表3 2018年智能電視應用軟件風險監督抽樣表

表4 2018年智能空調應用軟件風險監督抽樣表

表5 2018年智能音箱應用軟件風險監督抽樣表

按照風險影響受眾面及程度，將其分為高中低三等：后臺存在導致大面積用戶信息泄露或被遠程控制的漏洞、影響層面涉及公眾時定義為高風險[4]；身份鑒別、通信安全、數據安全和運行安全存在導致個人信息數據被泄露及惡意利用以致財產損失的漏洞、影響層面為個人時定義為中風險；存在用戶非敏感信息泄露、影響層面為個人時定義為低風險。

對于采樣的共計51批次智能家居產品，其應用軟件均存在風險項，占總采樣批次51的100%。風險項目及對應不符合產品占比數據如表6所示。

表6 風險監測結果

各類風險項都將對智能家居網絡信息安全產生嚴重危害。身份鑒別防護不足可能導致賬號被盜用，產生非預期的消費；通信安全（完整性、保密性）不符合有可能導致網絡傳輸的重要數據被竊取，數據安全不符合將可能導致用戶數據泄漏的風險；運行安全不符合有可能導致終端應用被插入惡意程序、植入病毒、盜取賬號信息，造成敏感信息泄露，控制端被非法提權等。

此外，應用軟件安裝權限控制不嚴或將導致智能家電感染帶有病毒和木馬，進而造成用戶信息泄露或設備被控制；對應用軟件反編譯和二次打包防護不足將導致惡意偽造安裝包分布，用戶無法分辨安裝包真偽，安裝偽造應用軟件后用戶賬號密碼泄露并被惡意操作；操作版本較低普遍存在，系統存在大量已知漏洞，易被攻擊破解，從而使惡意分子能夠遠程控制設備，操作設備執行非法指令[5]。

2.3 結果分析

從2018年對智能家居應用軟件的監測數據可以看到，各類智能家居的應用軟件都存在不同程度的風險，各類風險項都將對智能家居網絡信息安全都將產生嚴重危害。

2.3.1 身份鑒別。可能導致賬號被盜用，產生非預期的消費。

2.3.2 通信安全（完整性、保密性）。有可能導致網絡傳輸的重要數據被竊取。

2.3.3 應用軟件安裝權限。控制不嚴或將導致智能家電感染帶有病毒和木馬，進而造成用戶信息泄露或設備被控制。

2.3.4 數據安全。將可能導致用戶數據泄漏的風險。

2.3.5 運行安全。不符合有可能導致終端應用被插入惡意程序、植入病毒、盜取賬號信息，造成敏感信息泄露，控制端被非法提權等。

此外，應用軟件還存在其他方面的風險。如，應用軟件反編譯和二次打包防護不足將導致惡意偽造安裝包分布，用戶無法分辨安裝包真偽，安裝偽造應用軟件后用戶賬號密碼泄露并被惡意操作[6]；操作版本較低普遍存在，系統存在大量已知漏洞，易被攻擊破解，從而使惡意分子能夠遠程控制設備，操作設備執行非法指令。

2.4 智能家居網絡安全改善建議

在貫徹落實網絡強國思想的同時，提升網絡安全性能成為智能家居產品發展的必要部分。以下從標準、監管、企業、公民四個角度提出改善建議。

3.1 標準統一

目前，智能家居產品就網絡信息安全部分的標準尚未統一，為提升智能家居產品網絡信息安全，應當梳理已有行業標準、團體標準，結合當前技術發展現狀和趨勢，制定國家統一標準。

3.2 監管實施

繼《網絡安全法》實施以來，監管機構多采取風險監測方式進行工作開展，在建立智能家居統一標準的前提下，應當對智能家居產品從功能、易用性、可靠性、安全性等方面進行規范與監督[7]。

3.3 企業應對從被動轉向主動

網絡攻擊事件層層升級，企業應當意識到，對網絡攻擊的應對絕不應當存有僥幸心理。隨著《網絡安全法》的出臺，維護網絡安全成為企業的責任[8]。被動防御是不夠的，企業應當建立安全保障機制，以隨時應對各種攻擊事件。企業應當主動聯系第三方安全檢測機構，定期對其信息系統和應用軟件進行漏洞檢測，并及時修補。

3.4 安全意識普及

普及智能家居產品網絡安全存在的問題，建議用戶合理設置密碼、正確使用退出機制、保護個人隱私信息、及時更新應用軟件版本等，同時，對存在安全隱患的應用軟件向監管部門提出投訴建議，共同監督智能家居網絡安全的健康發展。

4 結束語

智能家居行業蓬勃發展，網絡安全問題與人們生活息息相關。隨著物聯網時代的到來，傳統工業產品在網絡安全方面的標準尚處于碎片化、待統一的狀態。為保障公民的人身財產安全和個人隱私安全，同時提升傳統工業順利轉型與可持續發展，本文提出四項建議：統一網絡安全標準、實行強制監管措施、企業主動與第三方機構合作檢測、提升公民網絡安全意識。