通过购买数据、获得数据试用权限以及抓取公共记录,第三方数据公司可以收集数十亿人、数千个属性的详细数据。比如说,几十年来,一些公司可以买下杂志订户的名单,从而进行精准的广告推送。再比如说,当用户使用智能手机或信用卡时,产生的用户数据甚至可以确定你是否刚刚经历了分手,是否正在怀孕或减肥,确定你是内向还是外向,你吃的是什么药,你去过哪里,甚至你的手机操作习惯等。这一切其实并不难。
所有这些数据都可以用于广告精准推送,计算个人生活风险,了解自己是否适合某个工作。但实际上,这样的数据收集是有风险的。除了收集和存储数据的风险之外,详细的但错误的资料可能导致种族歧视或收入的歧视,这是一种高科技时代的歧视。大量的个人信息流向了政党以及政府机构,帮助他们获取选票和追查非暴力犯罪的嫌疑人。与此同时,几乎所有拥有信用卡的人都可以访问的人肉搜索网站,对于隐私侵犯者、虐待者以及跟踪者来说是个巨大的仓库。
个人和企业数据可能会在一天的工作中通过各种物联网协议跨越许多路由器。这为犯罪分子创造了一个理想的环境,这就是为什么他们会攻击一些大企业,尤其是远程控制的智能家居更容易受到攻击。
智能家居存在更多安全风险
智能家居发展迅速,苹果、亚马逊等国际互联网巨头均推出了智能家居平台,为传统硬件厂商提供智能化解决方案,国内小米、百度等公司也积极推动智慧生活应用落地,推出小爱同学与小度音箱等产品。但其安全问题也日益突出,安全事件频频发生。
亚马逊物联网操作系统FreeRTOS被爆出存在13个安全漏洞,攻击者可利用这些漏洞破坏设备,获取敏感信息以及远程运行代码,甚至可获得设备最高权限;思科研究人员发现三星智能家居平台SmartThings Hub存在20多个漏洞,通过这些漏洞,攻击者可执行任意代码,进而可攻击第三方智能家居设备。
应该如何防护呢?
首先是用户自身应该提高安全意识,然后是厂商用户应该反思,安全比发展更重要。
内部软件中存在漏洞,这是厂家的责任;用户使用不当或密码等级太低,这是用户的责任;登录的默认口令未更改,这是用户安全意识问题;管理平台安全性没做好,这是厂家管理问题。
物联网的时代,人们隐私安全问题越来越尖锐,除了使用不当的原因,毫无防范措施才是最重要的,其实很多产品并不具备储存隐私的功能,但是因为连接着家中的无线网络,就容易被人入侵,也就是说当智能产品连接到网络,就意味着有被攻击的危险。
对于厂家来说:及时查找软件漏洞发布新固件,有漏洞信息及时告知用户,增加Web管理平台的安全性,强化系统安全,保护用户隐私安全。
对于用户来说:及时更新软件补丁,修补漏洞;安装必要的杀毒软件,及时关注系统与软件升级公告并做好升级工作,定期进行已知漏洞扫描工作。增强身份验证,明确用户与权限之间的对应关系,采取“最小权限原则”与“默认拒绝”策略,防止出现越权漏洞。其次就是保证个人的隐私及信息不被泄露,生物识别技术高速发展下,“刷脸”、“刷指纹”、“刷眼”已经很普遍,这里一定要注意个人信息慎重提交,不要随意泄漏自己的指纹、虹膜和人脸等信息,让他人随意利用。
智能生活已是大势所趋,智能家居的广泛应用只是时间问题,我们在享受前沿科技给自己带来的惊喜的同时,也应当学会如何安全地使用这些智能产品。我们在安装和使用的时候一定要注意经常查看设备的日志之类的数据看看是否有未知的人对我们的设备进行控制和操作,保护我们的隐私和安全,这也便是此次互联网安全大会关注智能家居这一话题的意义所在。