智能音箱安全吗?技术升级后的风险不容忽视
2022-03-24 16:37:40 来源: 国际商报

一台小小智能音箱,不仅能在主人的呼唤下播放歌曲和节目、查天气、定闹钟,还能控制灯、空调、热水器等智能电器,实现打电话、购物、导航和定位寻回等功能。智能音箱早已成为不少家庭提升幸福感的必备好物。然而,随着功能逐渐多元化,信息技术手段愈发复杂,信息泄露、敏感信息收集、被监听……智能音箱的风险也不容忽视。

智能音箱安全吗?技术升级后的风险不容忽视

技术升级后的风险不容忽视

智能音箱正走进千家万户。根据国际数据公司IDC发布的《中国智能音箱零售市场月度追踪》报告,2021年中国智能音箱市场销量为3654万台,同比增长20.1%,预期2022年市场销量将达到3725万台,销量不断攀升。

智能音箱安全吗?为此,中国软件评测中心特别发布了测评报告。报告指出,目前智能音箱产业飞速发展,产品向有屏、无屏两个大类持续分化。前者是在传统智能音箱的基础上进一步“升级”,通过增加屏幕、摄像头逐渐向家用平板/智慧屏靠近;后者则是进一步轻量化、无线化和模块化,主要定位智能家居的智能音频控制/交互入口,未来将可能嵌入到更多家居/家电内。

然而,随着功能的不断拓展和信息技术的飞速发展,智能音箱也成为风险隐患的载体。测评报告指出,目前风险主要存在两大类,一类是由于智能音箱所集成的功能多样化,交互接口数量增多,导致其可能被攻击的入口逐渐增多。

2019年,Google Home被中国安全专家攻破,攻击者可以通过远程指令操控目标设备。如果事件一旦升级,可能导致数百万用户个人信息泄露,轻则导致用户遭受诈骗、资金被盗用,重则导致用户的人身安全受到危害,影响社会稳定。

另一类是为满足消费者个性化功能和部分定位功能的需求,智能音箱收集了大量用户隐私信息及交互数据,可能产生违规收集用户个人数据的安全隐患。

影响最大的一个案例是,2019年,彭博社披露了亚马逊雇佣数千名员工监听旗下智能音箱Amazon Echo用户的日常录音,甚至将1700余用户的语音数据违规泄露,导致用户在不知不觉间受到了电商骚扰、电信诈骗等一系列影响。

存在信息泄露风险

那么,国内智能音箱产品的安全性如何?就此,中国软件评测中心选取了市面畅销的多台有屏智能音箱和无屏智能音箱,从网络安全、数据安全和个人信息安全等多个角度进行测评。

在网络安全和数据安全层面,测试主要集中在智能音箱App安全、通信数据传输安全、智能音箱系统与固件升级安全三个领域。

测评结果显示,在智能音箱App安全方面,测评范围内的智能音箱App均未检测出严重漏洞,能够有效避免用户信息泄露。

不过在通信数据传输安全方面,某些智能音箱设备在与服务器端进行通信过程中,存在日志文件明文传输导致用户敏感信息泄露等问题。

在智能音箱系统与固件升级安全方面,大部分设备采取了“升级检测”和“固件签名”的措施,用户无法自行降级,有效保护了智能音箱的安全。不过,测评专家发现部分设备通过HTTP协议明文传输固件升级请求,从数据包中可以获取固件下载地址,这会引发固件泄露的风险。同时,使用不安全的通信协议可能面临中间人攻击的风险。

存在过度收集信息问题

在智能音箱用户个人信息安全层面,测评主要集中在个人信息收集使用规则和个人信息主体注销账户两方面。

为了给用户提供更加精准的定制化服务,智能音箱会收集用户的个人信息,包括位置信息、通讯录信息、音视频信息等敏感数据。在对个人信息收集使用规则进行检测的过程中,测评专家对各智能音箱产品的隐私政策进行了详细解读,并对其中存在的一些疑问与企业进行了访谈。

测评报告显示,参与测评的智能音箱产品都拥有完整的个人信息保护政策,并且能够在实际应用中付诸实践。

不过,智能音箱在收集使用个人信息的过程中,仍存在过度收集用户个人信息的情况。例如,在进入智能音箱App之后会自动收集用户语音数据用于模型训练,但未对用户进行明显提示。此外,智能音箱还存在过度收集用户个人信息的情况,相关企业未能对采集频率以及存储时间进行明确说明。

另一个值得关注的是个人信息主体注销账户问题。按照相关法律法规,用户对智能音箱存储的个人用户信息应该完全可控,在用户要求进行账户注销或用户数据销毁时,智能音箱、控制端App或云端服务应向用户提供简单便捷的操作方式,并且在注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个功能视同注销主体账号,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。

但实际测评发现,部分智能音箱账户注销及用户数据销毁仍存在问题。当用户注销智能音箱账户时,会将此账户下所有产品及服务注销,这为用户管理个人信息增加了诸多不便。(刘旭颖)

责任编辑: 梅长苏