小米、Google、智慧硬體、攝像頭、隱私,這些關鍵詞,日前把小米米家攝像頭推向了風口浪尖。
據一位reddit社群使用者反映,他在使用Google谷歌Nest Hub訪問繫結的小米米家攝像頭時,攝像頭傳回的影象並不是自己本地的畫面,而是隨機從其他人家傳過來的靜止影象。這其中包括有在睡覺的人,以及嬰兒的影象。
在了解到這一情況下,Google暫停了小米產品在Google Home和Assistant的接入。
小米迴應:影響範圍很小,國內產品不受影響針對這一情況,小米公司也釋出宣告稱,這一BUG只在海外銷售的Mi Home Security Camera basic 1080P攝像頭通過Google Home Hub平臺連線Google帶屏音箱產品時,在網路條件很差的情況下才有極小概率出現。
小米同時稱,所有使用米家APP與小米米家相關攝像頭的使用者,不論是國內使用者還是海外使用者,都不會受此影響。
據稱,小米已經與Google一同修復了相關BUG,待測試完善後,小米的裝置會重新在Google Home及Assistant上線。
騰訊科恩實驗室2019年年中釋出的一份IOT物聯網裝置安全報告顯示,在其檢測的16508個安全風險中,智慧家居裝置存在的安全風險數量最多。平均每一款被檢測的IOT裝置包含33.96個安全風險。從安全風險按裝置型別分佈圖來看,攝像頭的安全風險數量僅次於路由器產品。智慧攝像頭產品,被屢次爆出針對影象資料的隱私侵犯以及未授權的入侵等安全問題。
為何智慧硬體安全風險如此之多?
主要原因在於,目前智慧硬體出口企業,出於節約開發成本、提高開發效率、縮短開發週期等目的,很多廠商直接使用第三方庫,據統計,第三方庫在開發過程中被非常頻繁地呼叫。
除此之外,單個IOT裝置韌體本身呼叫的第三方加數量也很可觀。其中,呼叫數量達12種及以上的超過半數。
科恩方面稱,直接呼叫第三方庫時,庫的安全性並沒有得到開發商足夠的重視。而且在IOT裝置韌體開發過程中,很多開發商也並沒有針對這些庫的程式碼漏洞審查環節。大多數第三方庫都被直接呼叫。
統計顯示,第三方庫在IOT韌體安全方面造成的安全風險係數甚至比APP上的情況更嚴重。比如,比較著名的OPENSSL心臟滴血漏洞,就是第三方資源庫或應用框架漏洞的典型案例。
如何預防潛在的智慧硬體安全風險?對於消費者來講,除了增強安全風險意識外,在購買攝像頭等智慧硬體時,購買業界知名品牌、有開發能力的廠商的產品,當然是首選。
另外,平時如果對隱私保護有要求,養成不讓裝置24小時線上,及時斷電的習慣也很有必要。
有的廠商出於保護使用者隱私的目的,甚至在攝像頭前面加了物理遮擋蓋板,或者將攝像頭做成可以旋轉雲臺的形式,使用者在回家後或以手動,或通過APP遠端旋轉攝像頭角度。
對於廠商,規範開發流程,加強各環節的安全審計,同時,必要時引入第三方的IOT裝置安全檢測也很有必要。
當然,任何“安全”都是相對的。這次,小米的攝像頭被使用者一次偶然的操作發現了安全漏洞,讓人欣慰的地方是,小米有足夠的技術能力去修補漏洞。其實,對於大多數IOT智慧硬體裝置來講,還有更多的潛在漏洞沒有被發現,隨著物聯網的飛速發展,IOT裝置的安全性,需要業界各廠商共同去面對,去保護。