文章讨论了智能音箱的安全风险,包括系统安全性、一机一密的缺失和数据传输的安全隐患。提出了加密通信、强化身份验证、安全固件和虚拟源码保护等加固技术来提升智能音箱的安全性。
N年前的新闻
最近,看到一则N年前的新闻:亚马逊出品的老款Echo音箱被人黑了。通过对这款音箱底部基座硬件的简单加工,英国安全研究人员展示了如何将恶意软件植入Echo的过程。恶意软件一旦植入便可以进行一系列恶劣的行径,监听、攻击网络中其他设备、盗用账号,甚至安装勒索软件,不一而足。
这就引出了IoT(物联网)领域的一个安全问题。看似平常的家用物件都可能成为“被黑”的对象,对于IoT设备安全风险的防范决不能掉以轻心,哪怕是小小的智能音箱都可能成为攻击的对象,变成枕边的窃听器。
智能音箱的安全威胁
智能音箱与智能手机不同,它不是一个开放式的产品,用户无法在其上安装运行任意App,所以传统的针对App的安全保护方案(比如App加固)完全不适用。智能音箱的安全威胁主要来自于以下几个方面:
1. 固化在智能音箱中的系统的安全性
在上面说的故事中,虽然是由于硬件设计造成的漏洞,但由于系统本身同样存在安全性问题,攻击者长驱直入,直接向系统内部植入恶意代码,这是以往针对App的加固保护方案无法解决的问题。要根本性的提高安全性,必须对整个系统的各个模块增强由内而外的安全基因,而不能寄希望于由外而内的加壳式保护。
2. 音箱设备缺乏一机一密的安全性
智能手机用户虽然硬件与系统相同,但是不同用户使用的App不尽相同。假设一部分用户由于安装了某些带有漏洞的App而被攻击,不使用该款App的用户则可能不受影响。智能音箱却不同,同款音箱的用户硬件、软件没有区别。攻击者一旦找到攻击方法,所有的用户都无一例外面临同样的威胁。这就相当于所有用户的家门钥匙都是相同的,任何一位用户钥匙被盗,所有用户都同时面临一样的危险。在这样的场景下,一机一密就显得犹为重要。如果生产的每一台音箱都具有独一无二的密钥和保护手段,则相当于每个用户都拥有完全不同的锁和钥匙,这样即使某位用户的锁被攻破,其他用户也不受影响,从而大大减小安全事件的影响度,也为厂家提供安全修复方案赢得更多时间。
3. 智能音箱传输数据的安全性
智能音箱通过网络传输的数据可能被截获或篡改。比如智能音箱都带有的语音识别功能,为了提高识别的准确率,音箱会先收集语音信息,然后将其上传至服务器端来作识别。对于传输数据的保护,常用方式是使用HTTPS等通信协议进行加密,虽然一般认为HTTPS能保证数据在传输链路上的完整性和不可篡改性,但是智能音箱中会内置对应的证书或密钥信息来完成加密和验证,如果音箱系统对于自身代码和数据的保护强度不够
最低0.47元/天 解锁文章
扫一扫
8146
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
