小米、Google、智能硬體、攝像頭、隱私,這些關鍵詞,日前把小米米家攝像頭推向了風口浪尖。
據一位reddit社區用戶反映,他在使用Google谷歌Nest Hub訪問綁定的小米米家攝像頭時,攝像頭傳回的圖像並不是自己本地的畫面,而是隨機從其他人家傳過來的靜止圖像。這其中包括有在睡覺的人,以及嬰兒的圖像。
在了解到這一情況下,Google暫停了小米產品在Google Home和Assistant的接入。
小米回應:影響範圍很小,國內產品不受影響
針對這一情況,小米公司也發布聲明稱,這一BUG只在海外銷售的Mi Home Security Camera basic 1080P攝像頭通過Google Home Hub平台連接Google帶屏音箱產品時,在網絡條件很差的情況下才有極小機率出現。
小米同時稱,所有使用米家APP與小米米家相關攝像頭的用戶,不論是國內用戶還是海外用戶,都不會受此影響。
據稱,小米已經與Google一同修復了相關BUG,待測試完善後,小米的設備會重新在Google Home及Assistant上線。
家用攝像頭出貨量增速大漲 安全問題日益突出
根據IDC的數據,家用智能攝像頭2018年出貨量接近970萬台,同比增長64.1%。根據「假裝是極客」獲得的京東一份數據,2019年雙十一時,「攝像頭」設備成為用戶點擊率最高的關鍵詞。小米米家、360、螢石等品牌全部榜上有名。
騰訊科恩實驗室2019年年中發布的一份IOT物聯網設備安全報告顯示,在其檢測的16508個安全風險中,智能家居設備存在的安全風險數量最多。平均每一款被檢測的IOT設備包含33.96個安全風險。從安全風險按設備類型分布圖來看,攝像頭的安全風險數量僅次於路由器產品。智能攝像頭產品,被屢次爆出針對圖像數據的隱私侵犯以及未授權的入侵等安全問題。
為何智能硬體安全風險如此之多?
主要原因在於,目前智能硬體出口企業,出於節約開發成本、提高開發效率、縮短開發周期等目的,很多廠商直接使用第三方庫,據統計,第三方庫在開發過程中被非常頻繁地調用。
除此之外,單個IOT設備固件本身調用的第三方加數量也很可觀。其中,調用數量達12種及以上的超過半數。
科恩方面稱,直接調用第三方庫時,庫的安全性並沒有得到開發商足夠的重視。而且在IOT設備固件開發過程中,很多開發商也並沒有針對這些庫的代碼漏洞審查環節。大多數第三方庫都被直接調用。
統計顯示,第三方庫在IOT固件安全方面造成的安全風險係數甚至比APP上的情況更嚴重。比如,比較著名的OPENSSL心臟滴血漏洞,就是第三方資源庫或應用框架漏洞的典型案例。
如何預防潛在的智能硬體安全風險?
對於消費者來講,除了增強安全風險意識外,在購買攝像頭等智能硬體時,購買業界知名品牌、有開發能力的廠商的產品,當然是首選。
另外,平時如果對隱私保護有要求,養成不讓設備24小時在線,及時斷電的習慣也很有必要。
有的廠商出於保護用戶隱私的目的,甚至在攝像頭前面加了物理遮擋蓋板,或者將攝像頭做成可以旋轉雲台的形式,用戶在回家後或以手動,或通過APP遠程旋轉攝像頭角度。
對於廠商,規範開發流程,加強各環節的安全審計,同時,必要時引入第三方的IOT設備安全檢測也很有必要。
當然,任何「安全」都是相對的。這次,小米的攝像頭被用戶一次偶然的操作發現了安全漏洞,讓人欣慰的地方是,小米有足夠的技術能力去修補漏洞。其實,對於大多數IOT智能硬體設備來講,還有更多的潛在漏洞沒有被發現,隨著物聯網的飛速發展,IOT設備的安全性,需要業界各廠商共同去面對,去保護。