近年来 ， 智能音箱等智能家居产品逐渐走入千家万户 ， 为人们的居家生活增添了便利和乐趣 。 IDC发布的《中国智能音箱零售市场月度追踪》报告显示 ， 2021年中国智能音箱市场销量为3654万台 ， 同比增长20.1% ， 预计2022年市场销量将达到3725万台 。
智能音箱正在向有屏、无屏音箱持续分化：一种是在传统智能音箱上进一步升级 ， 通过增加屏幕、摄像头 ， 逐渐向家用平板、智慧屏靠近 。 另一种则是进一步轻量化、无线化和模块化 ， 主要定位智能家居的智能音频控制、交互入口 ， 未来智能音箱将继续渗透 ， 嵌入更多家居产品、家电内 。 随着智能音箱功能逐渐多元化 ， 信息技术手段愈发复杂 ， 其安全风险也渐渐浮出水面 。
智能音箱安全风险不容小觑
智能音箱安全风险主要分为两个方面 。
一是随着智能音箱所集成的功能多样化、交互接口数量增长 ， 可能被攻击的入口逐渐增多 ， 安全风险不断扩大 。 2019年 ， Google Home被攻破 ， 攻击者可以通过远程指令操控目标设备 。 如果事件一旦升级 ， 可能导致数百万用户个人信息泄露 ， 轻则导致用户遭受诈骗、资金被盗用 ， 重则导致用户的人身安全受到威胁 ， 影响社会稳定 。
二是智能音箱产品定位及个性化功能产生的需求 ， 导致其收集了大量用户隐私信息及交互数据 ， 由此可能产生违规收集用户个人数据的安全隐患 。 2019年 ， 有媒体披露亚马逊雇佣数千员工监听旗下智能音箱Amazon Echo用户的日常录音 ， 甚至违规泄露1700多个用户的语音数据 ， 导致用户不知不觉间受到电商骚扰、电信诈骗等一系列影响 。
中国软件评测中心选取了市面畅销的多台有屏智能音箱和无屏智能音箱 ， 从网络安全、数据安全和个人信息安全等多个角度进行测评 。
智能音箱网络安全与数据安全 。 智能音箱APP安全 。 测评专家对智能音箱APP的安全性进行了测试 ， 包括组件安全检测、Manifest文件检测、Webview安全检测、网络通信安全检测、弱加密风险检测、数据安全检测、系统漏洞检测、so文件风险检测、隐私权限检测、隐私行为检测等测试项 。 在测试过程中 ， 专家通过对apk文件进行反编译 ， 采用自动化扫描与人工渗透相结合的技术手段以发现其存在的安全问题 。
经测评 ， 测评范围内的智能音箱APP均未检测出严重漏洞 ， 能够有效避免用户信息泄露 。
智能音箱通信数据传输安全 。 测评专家在智能音箱系统与服务器端的通信过程中 ， 动态采集传输的网络数据 。 在针对智能音箱联网通信和连接维护全过程的加密算法方面 ， 使用Wireshark工具和人工审计的方式 ， 进行了安全分析和评估 。
经测评 ， 某智能音箱设备在与服务器端进行通信过程中 ， 存在日志文件明文传输 ， 导致用户敏感信息泄露等问题 。 传输的日志中包含设备信息、日志信息和语音转换出的文本信息 ， 造成信息泄露 。
智能音箱系统与固件升级安全 。 测评专家首先对智能音箱系统与固件做了降级风险测试 ， 发现大部分设备采取了“升级检测”和“固件签名”的措施 ， 锁定了串口和USB接口 ， 用户无法自行降级 ， 保护了智能音箱的安全 。 其次 ， 专家对智能音箱固件更新请求通信过程进行了分析 ， 通过分析更新请求数据包 ， 发现部分设备通过HTTP协议明文传输固件升级请求 。 从数据包中可以获取固件下载地址 ， 引发固件泄露风险 。 同时 ， 使用不安全的通信协议可能面临中间人攻击的风险 。
经测评 ， 部分智能音箱固件升级通信过程存在URL暴露风险 ， 可能发生固件泄露事件 。