GMTC北京站两周后开幕,58个议题全部上线,点击查看 了解详情
写点什么

智能家居再曝漏洞:FBI 警告用户防范电视受到黑客攻击

2019 年 12 月 06 日

智能家居再曝漏洞:FBI警告用户防范电视受到黑客攻击

2018 年 5 月,InfoQ 曾报道过智能音箱窃听事件,亚马逊智能音箱 Echo 不仅偷录了用户的对话,还将这段对话随机发给了用户联系人列表中的一位朋友。事件曝光后引发了公众对于智能设备的担忧,然而就在近日,类似的事件再次发生了。

2019 年 11 月 26 日,美国俄勒冈州联邦调查局(FBI)发布了一篇文章,告知家中装有智能电视的用户注意隐私安全问题,不法分子有可能透过智能电视自带的摄像头、麦克风观察甚至记录用户家中情况,虽然尚不清楚有哪些品牌的电视受到了影响,但该事件又一次将智能设备的安全性问题推上了风口。


FBI 报告:智能电视也不安全

内置摄像头成为黑客的“后门”

“双十一”过去了,“黑五”过去了,家电产品想必是不少人下单的对象,然而大洋彼岸的 FBI 却对这一设备发出了警告:你有可能正在被不法分子偷窥。


之所以将其称为“智能电视”,是因为它们可以连接到互联网,方便用户使用流媒体服务和应用程序。而随着 AI 技术的应用,对于有些懒得使用遥控器的用户,只需要对着电视说出指令就可以完成一系列的操作。


新款的智能电视大都有内置摄像头,因为厂家或解决方案提供商在某些情况下,需要使用摄像头用于面部识别,以验证用户的身份,当然也可以方便用户通过电视与家人、朋友进行视频互动。


除了电视制造商和应用开发人员有可能听到、看到用户的日常之外,不法分子也有进行攻击的可能性。


FBI 警告道:黑客可以控制电视并向用户的孩子展示不合适的节目或者视频,甚至在某些情况下,他们可以在后台打开电视的摄像头和麦克风,以无声的方式进行窃听、偷窥。


针对智能电视的攻击

虽然针对智能电视的主动攻击很少,但也并不是没有发生过。


每台智能电视都配有制造商自己的软件,并且受制于通常不可靠且不定期的安全补丁计划,所以一些厂商的产品可能会更容易受到攻击。比如今年 1 月,有黑客劫持了 Google 的 Chromecast 流媒体棒,并向成千上万的受害者播放随机视频。


而更早的时候,大概在 2017 年左右,维基解密曾披露一系列针对三星智能电视产品的漏洞,一款被称为“Weeping Angel(哭泣天使)”的工具被指出能够提取浏览器以及 WPA / Wi-Fi 凭据和历史记录,还能够在电视处在深度待机模式下运行。同时,这项披露还指出:用户通过断开 WiFi 连接的方式使无法避免的,因为这一工具可以伪造出 WiFi 已关闭的假象。


有意思的是,维基解密指出:这些针对智能电视的漏洞研究及工具是来源于美国的另一个安全情报机构——CIA,大概是为了更好地保护用户隐私,对吧?:-)


如何保护隐私?还是采用物理方式吧

回到 FBI 的报告上来,他们给出了一些“应该能”保护用户隐私的方式供参考:


  • 确切了解电视具有的功能以及如何控制这些功能。使用所购买型号电视+关键词,如“麦克风”、“摄像头”或“隐私”进行搜索,了解其安全情况。

  • 不要依赖默认的安全设置。如果可以的话,请更改密码,并了解如何关闭麦克风、相机以及在可能的情况下收集个人信息的软件。如果无法关闭,请考虑是否愿意冒险购买该机型或使用该服务。

  • 如果实在无法关闭摄像头,那么贴上一条简单的黑色胶带就可以隔离风险。

  • 检查制造商使用安全补丁更新设备的能力。

  • 检查电视制造商和使用的流媒体服务的隐私政策。确认他们收集哪些数据,如何存储该数据以及如何处理它们。


智能家居的安全性再受质疑

除了智能电视、智能音箱,似乎所有带着“智能”两个字的设备都不安全了。


2019 年 1 月,来自美国伊利诺伊州的一对夫妇报警称:有人利用他们的 Nest 安全摄像头与自己的孩子交谈,甚至用十分下流的词语辱骂他们。对此 Nest 的母公司 Google 在一份声明中表示,这对夫妇使用的 Nest 产品系统未受到破坏,可能是由于客户“使用的密码遭到破解……而这些秘密或许是用户在其他网站上的暴露的。”


2018 年 6 月,有不少来自英国的用户表示自己的手机速度突然变慢,家里的电费突然暴涨,但是并不知道这一切发生的原因是什么。随后一份安全部门发布的报告称:黑客正在利用恶意软件入侵用户的智能手机、电视甚至冰箱,使其成为“挖矿”的工具。


智能设备为人们的生活带来了便利,同时也带来了一个看似“无解”的循环问题:想要享受设备的智能就要联网,联网就有被黑客攻击的可能,而目前不少厂商在研发、制造的过程中,并没有把设备的安全性放在第一位,其产品宣传中过分地鼓吹其产品的智能、灵敏,也让不少用户短暂忘记了安全的重要性。


于是,用户在不知不觉中失去了自己的隐私,更不知道那些被厂商收集的数据最终会流向哪里,看似信息愈发透明的智能时代,用户反而更像是看不见、听不见的“聋哑人”。除了呼吁政府机关的立法与监督,制造商的良心也是保护用户隐私的重要底线之一。


2019 年 12 月 06 日 08:301254
用户头像
陈思 InfoQ编辑

发布了 576 篇内容, 共 207.3 次阅读, 收获喜欢 1197 次。

关注

评论

发布
暂无评论
发现更多内容

阿里天猫3面(Java研发):GC回收+Redis Hash算法+架构部署+秒杀等

钟奕礼

Java 编程 程序员 架构 面试

Tensorflow实现Transformer模型将葡萄牙语翻译成英语

AI_robot

阿里云创建ssl证书,https访问

尧二水丶

阿里云 https

深入分析小程序运行环境框架原理

小风以北

小程序 编译原理 框架 工作原理

UUID不失精度,长度改进

迟到的月亮

Java uuid

NodeJs 介绍

小风以北

nodejs 新特性

tensorflow实现cifar10彩色图像多类别分类

AI_robot

区块链底层Baas平台搭建,区块链政务底层平台开发

13823153121

NodeJs中Buffer与Stream理解

小风以北

stream 原理 Node buffer

Spring Boot集成 Sentinel 实现接口流量控制

麦洛

微服务 sentinel spring cloud alibaba

在项目启动时(无request)获取Tomcat端口号

迟到的月亮

Java

推荐16款强大的Twitter视频下载器(2021精选)

科技猫

twitter 软件 网站 分享 视频下载

初学redis分页缓存方法实现

尧二水丶

php redis

云图说|将源端MongoDB业务搬迁至华为云DDS的几种方式

华为云开发者社区

mongodb 数据迁移 华为云文档数据库服务 DDS 文档数据库

【译】ECMAScript 2021: 最终功能集确定

清秋

JavaScript ecmascript 翻译 ES6 新闻

tensorflow实现两种图像风格融合 即神经风格迁移

AI_robot

tensorflow实现CNN模型垃圾分类算法

AI_robot

民国最出名的女作家,为什么是她?

了了Vita

最新阿里蚂蚁金服四面(已拿offer)Java技术面经总结

钟奕礼

Java 编程 程序员 架构 面试

tensorflow实现像素级图像分割算法

AI_robot

随机数环设想

迟到的月亮

Java

MySQL长度问题

尧二水丶

MySQL

Android 高通Camx架构学习 - 第1章

小驰嘻嘻

android camera

《月亮与六便士》:给你500万,你会用它买套房子还是周游世界?

了了Vita

tensorflow实现低分辨率灰度图像分类算法

AI_robot

一个数组通过配置随机抽取组成小数组

迟到的月亮

Java

这可能是全网关于Camera慢动作录像(SlowMotion)介绍最全的文章了

小驰嘻嘻

android 音视频 camera

Java面试过了京东五面之后,发现掌握了这些技术也没有那么难

钟奕礼

Java 编程 程序员 架构 面试

看完这篇文章,你起码对分析视频卡顿有点思路了 01

小驰嘻嘻

android 音视频 camera

如何在游戏中快速集成聊天功能

LeanCloud

游戏开发 即时通讯 聊天室 sdk

最全Java架构师技能树:Java编程+网络+设计模式+数据库+分布式

钟奕礼

Java 编程 程序员 架构 面试

智能家居再曝漏洞:FBI警告用户防范电视受到黑客攻击-InfoQ