轉載自:大數據文摘
作者:牛婉楊、曹培信、劉俊寰
本文2262字,建議閱讀5分鐘。
本文介紹智能家居的安全攝像頭是否真的安全。
近日,小米攝像頭被曝出現嚴重bug,一位米家相機用戶「Dio-V」試圖將相機中的內容傳輸到谷歌Nest Hub時,居然看到了陌生人睡覺的場景,其中包括一個嬰兒在搖籃里呼呼大睡的場景。
事發之後,谷歌迅速給予回應,禁止了小米所有米家產品與谷歌家庭產品的集成。
這位名為「Dio-V」的用戶將這一經歷發布在了論壇Reddit上,稱他的小米Mijia 1080p智能IP安全攝像頭出了故障,這個攝像頭可以通過小米的Mi Home應用/服務連結到谷歌帳戶,與Google/Nest設備一起使用,並且po出了他接收到的圖片和視頻影像。
目前尚不清楚這些靜態圖像何時開始顯示到「Dio-V」設備中的,也不清楚在這一切發生之前攝像頭與他的帳戶連接了多長時間。發帖者稱,「Nest Hub 和相機都是新買的,相機是從 AliExpress 上購買的,並且記錄為運行固件版本3.5.100.66。」
當他試圖通過連接的相機獲取視頻信息時,獲取到的不是預期的本地視頻信息,而是一個來自另一個陌生家庭的,部分損壞的黑白靜態圖像。在他最初提供給Reddit的素材中,清晰的展示了一個熟睡的嬰兒,一個安全攝像頭拍到的封閉的門廊,以及一個看起來在椅子上睡著的男人。
用戶「Dio-V」還認為,提供給他的靜態圖像內容與自己的時區不同,因為Nest Hub顯示了小米米家品牌的日期和時間。
事件剛剛曝出時,reddit上也出現了各類猜測。但視頻證據確鑿,很明顯,無論試圖訪問的是什麼feed,它實際上都是與谷歌Home/Assistant集成的,而且視頻斷斷續續的,顯示的是靜止圖像,而不是預期的視頻,當然也有可能是一些測試圖像,以及其他可能的解釋。
谷歌禁用所有「米家」集成,小米表示是弱網造成
之後,谷歌在第一時間便認識到了問題的嚴重性,一位谷歌發言人向公眾提供了以下簡短的聲明:
「我們已經意識到這個問題,並且正在與小米公司聯繫,尋求解決方案。 與此同時,我們正在禁止小米在我們的設備上集成。」
谷歌發出這個聲明是在上午,很顯然谷歌不想冒任何風險,完全禁用了小米設備的集成,也就是說整個「米家」的智能家居產品均已無法使用。
經過進一步確認,谷歌的這個聲明是一個一攬子禁用所有米家庭產品集成的谷歌家庭和助理的決定。
谷歌的決心顯示的更多的是不想承擔任何和隱私相關的責任,畢竟谷歌在這次事件中扮演的角色是一個集成硬體的軟體服務提供方,而為什麼會出這樣的問題,谷歌顯然是想讓小米自己去調查,在此之前,谷歌需要做的——也是唯一能做的,便是「一攬子禁用」。
事件發生近20小時後,小米官方也針對事件給出的明確聲明:
簡單來看,這個聲明主要說明了這麼幾點:
- 可能受影響的用戶很少,國內用戶不受影響;
- 目前功能已經暫停,修復後才重新上線;
- 問題的主要原因是弱網條件下產生的Bug。
針對問題為什麼會在弱網條件下產生,文摘菌猜測,可能是觸發條件的原因,在網絡比較慢的時候讀取流文件讀的緩存幀,導致緩存幀讀錯了,讀取的是其他用戶的緩存幀。
儘管目前的情況表明這屬於一起工程「烏龍」問題,但是不能不說小米在產品測試和管理流程上,仍然存在需要進一步解決問題。
不止小米,亞馬遜攝像頭也被「黑」,智能家居的安全性何解?
小米事件雖然大機率是技術原因導致,但是這也敲醒了關於智能家居安全性問題的警鐘。
其實也就在不久前,美國四個州相繼發生了黑客黑進智能家居系統的事件,面對技術漏洞,相關公司只會提醒用戶「不要循環使用密碼和用戶名」,似乎忘記了智能家居在為我們生活提供便利性的同時還應該保證安全性和可靠性。
亞馬遜開發的這款名叫Ring的監控攝像頭就是被「黑」一例。
Ashley LeMay和Dylan Blakeley在他們家的臥室里安裝了這個攝像頭,本意是想時時觀察他們三個女兒是否需要一些幫助。但是在安裝上Ring四天後,攝像頭內置的揚聲器開始大聲播放刺耳的流行樂。
當他們家8歲的女兒Alyssa想要去看看到底發生了什麼事的時候,一名男性開始和她說話,他自稱自己是聖誕老人,但言語中卻充滿了歧視和辱罵的內容。
LeMay說,這件事讓她和家人都感到十分不安,尤其是對女兒的心理狀況表示極大的擔憂,「她現在已經不願意在自己的房間裡睡覺了」。
儘管他們迅速地向警方進行了報導,FBI也和他們取得了聯繫,但亞馬遜的回應讓他們感到寒心。亞馬遜先是說他們提供的證據不足,推卸了整個事件的責任,隨後又在官方聲明中表示已經著手處理黑客的登錄憑證問題。
經認證發現結果是Ring系統被黑客黑了,但Ring並不是智能家居被黑首例或是唯例,在康乃狄克州、佛羅里達州和喬治亞州還至少發生過三起類似事件。同時,除了亞馬遜之外,谷歌的Nset和Taococo也都遭遇了黑客事件。
在康乃狄克州,Ed Slaughter告訴NBC Connecticut,一名黑客通過Ring大聲叫罵,吵醒了他的岳母,他感到自家受到了「侵犯」。
在佛羅里達州的科勒爾角,Josefine Brown告訴NBC 2,她被黑客發布的視頻嚇到了,視頻是來自Ring的監控內容。她還說,在聽了其他Ring事件的聲音後,她確信這些都是同一個人所為。
喬治亞州的一位女性告訴WSB-TV 2,當她躺在床上時,一個男人開始通過Ring和她說話。
網絡專家表示,黑進智能家居系統並沒有太困難,黑客只需要掌握一個用戶名信息就夠了。
亞馬遜隨後也意識到了這點,他們表示,已經向所有用戶發送電子郵件提醒他們使用多因素進行認證了,包括但不限於密碼、簡訊。同時,他們還建議,不要在多個伺服器上重複使用同個用戶名和密碼,這無疑是給黑客創造機會。
顯然,智能家居的安全性無論從本身的技術,還是應對黑客的防護能力都遠遠不夠,小米和Ring的事件無疑是給火熱的智能家居市場敲響了警鐘,在涉及用戶隱私的家庭環境中,一個可能出賣自己的攝像頭無疑是不能被接受的。
—完—
關注清華-青島數據科學研究院官方微信公眾平台「 THU數據派 」及姊妹號「 數據派THU 」獲取更多講座福利及優質內容。