黑五剁手安全指南
星期二, 十一月 17, 2020
安全牛评:双十一的燥热尚未消退,黑五和网络星期一又接踵而来。安全牛注意到,今年黑五的一大热门话题就是隐私安全。如果消费者自己不严格把关,很有可能将“隐私炸弹”、“隐私木马”引狼入室。
随着智能家电、可穿戴设备和各种联网设备的快速普及,从智能音箱、扫地机器人到儿童牙刷和门铃,都成为联网的隐私收集器。同时由于当下物联网产品普遍缺乏“安全基因”、必要的安全设计、审计和安全标准,一不小心就会沦为疯狂吸吮个人隐私的“智能木马”,甚至成为勒索软件的受害者。根据SonicWall近日发布的2020年第三季度威胁报告,物联网攻击数量增加了30%,勒索软件攻击数量激增了40%,通过物联网设备发起的勒索软件攻击正在快速增长。
据安全牛之前的报道,虽然欧洲、中国、美国都陆续出台了一些隐私保护和数据安全法规,美国政府甚至已经开始制订法规要求亚马逊等电商平台承担监管智能设备安全性的责任,但在目前阶段,对智能设备安全性的监管并未落地。
对于消费者,尤其是技术宅男来说,如何打赢个人隐私的“斯大林格勒保卫战”——将“智能木马”们拦截在客厅以外,现阶段依然是“一个人的战争”。因为智能设备和物联网设备的安全性,目前来说,依然缺乏透明度和标准,个人用户很难获取足够信息来做出有效判断。
近日,Mozilla(是的,就是火狐浏览器的开发者)赶在“黑色星期五”(美国人的双十一)到来之前完成了一个庞大的黑五礼品网络安全测试和购买指南。由于该报告报道的很多产品安全问题在国内都有“对标”的产品,因此对于国内消费者来说也具备相当的参考意义。
Mozilla的报告揭露了很多令人“毛骨悚然”的节日礼品,例如可以偷听夫妻对话的海滩智能咖啡壶,可以记录你语音语调的亚马逊Halo健身追踪器,以及威胁儿童隐私的儿童编程机器人开发工具包。
研究人员审查了在美国可以购买的136种流行的联网礼物,分为七个大类:玩具和游戏、智能家居、娱乐、可穿戴设备、健康与运动、宠物和家庭办公室。
研究人员仔细研究了这些产品的隐私政策、产品和应用程序功能,并就以下问题对厂商进行了调研:该产品的相机、麦克风或GPS可以监视我吗?设备会收集什么数据并将其发送到哪里?该公司保护用户数据的已知记录是什么?”
37款产品缺少隐私条款
报告给抽查的37个产品贴上了“不包含隐私条款”的警告标签,其中包括:亚马逊Halo、戴森Pure Cool空气净化扇、Facebook Portal、Hamilton Beach智能咖啡机、Livescribe智能笔、NordicTrack T系列跑步机、Oculus Quest 2VR头盔套装、西勒奇 Encode智能门锁 、Whistle Go宠物狗追踪器、优必选Ubtech Jimu机器人套件、Roku流媒体棒和Mirror。
Roku电视棒是一场隐私噩梦
该公司会跟踪您所做的一切,然后将其广泛共享。Roku与广告商和其他第三方共享您的个人数据,它以广告为目标,为您建立个人资料画像,然后如此如此这般…
亚马逊的Halo健康追踪器“吃相难看”
它该产品浑身都是传感器和麦克风。使用机器学习来测量用户语音的音调、能量,甚至还要求用户身着内衣自拍,以便追踪体内脂肪(编者:根据照片一键生成人体三维模型的人工智能“深度伪造、一键下海”工具已经出现)。
每个科技巨头都想塞给你“全家桶”
类似小米公司,像亚马逊和谷歌这样的公司也正在忙于布局全线产品,试图用各种手段兜售全家桶,垄断消费者身边的每一个智能产品。例如:Nest用户现在必须迁移到Google的平台,而Google正在尝试收购Fitbit。
亚马逊最近也宣布将进入可穿戴技术领域。这些公司意识到,他们掌握的有关个人生活隐私的数据越多越全,他们的产品就越赚钱。
智能产品正变得越来越令人毛骨悚然
许多公司,尤其是像Google和Facebook这样的大公司,正在提高安全性。但这并不意味着这些产品不是侵入性的。智能扬声器、手表和其他设备正在进入我们的生活,监控我们的房屋、身体和旅行。通常,消费者对厂商所收集的数据没有洞察力或控制力(编者:很多隐私侵犯是不可逆的,例如你的生物特征、面孔、身材和健康状况)。
联网智能玩具和宠物产品特别令人毛骨悚然。亚马逊的KidKraft Kitchen&Market是为3岁以下的孩子而设计的,但收集的数据并不透明。同时,诸如Dogness iPet机器人之类的设备可以在您的房屋中放置一个联网的移动摄像头和麦克风,而无需使用加密。
22个产品的隐私和安全表现出色
22种产品因出色的隐私和安全实践而被授予“最佳产品”称号(苹果公司的产品表现出色),包括:
苹果、Garmin和Eufy等少数品牌在改善产品线的隐私方面表现出色(编者:2019年英国卫报爆料苹果公司语音助理Siri会将用户隐私对话录音,以及位置和应用程序信息等个人信息发送给承包商分析,而苹果公司未能在产品隐私条款中披露这些功能/做法,Google的智能语音助理也曾曝出类似问题),而亚马逊、华为和Roku等其他顶级公司在隐私保护的每个领域都表现糟糕。
苹果如今明确承诺不会共享或出售用户的数据,在经历了2019年Siri泄密门后,苹果公司不再将人工语音审核作为默认项开启。
来自中国的Anker(安克创新)旗下的智能家电品牌Eufy在这次安全评测中表现亮眼。作为中国最成功的出海品牌之一,Anker的产品在Mozilla的隐私安全评测中表现出色。报告指出Eufy安全摄像机尤其值得信赖。素材存储在本地而不是云中,并受到军事级加密的保护。此外,Eufy承诺不会出售其客户清单。
当然,科技的进步也未必都是坏事,少数厂商正在推动新一轮的数据共享应对新冠疫情大流行,例如Oura Ring和Kinsa智能体温计等产品可以与研究人员和科学家共享匿名数据,以帮助跟踪公共健康和冠状病毒的爆发。这是一个积极的发展——出于公共利益而不仅仅是商业利益共享数据。