三六零北极星，守护IoT个人隐私安全

随着5G、AI等技术的快速发展，智能化、网络化逐渐成为家用设备的标签。其中以智能音箱为首的智能家居出现井喷式增长，智能家居步步走入每一个中国家庭。在享受智能化、信息化带来的生活便利的同时，庞大的终端数量、多样化的传输协议、海量的数据传输，使得设备入侵、生活隐私泄露等问题也随之不断涌现。

19年12月5日，泰尔实验室在其主办的2019移动安全和个人信息保护论坛中发布了《互联网设备-智能音箱安全白皮书》。白皮书提到了智能音箱十大安全风险，其中大部分和个人隐私泄露有关。无论是音箱厂商自身采集用户信息，或是不法分子通过破解系统非法获取个人隐私，皆是当今存在的问题。

360社区

不仅仅是智能音箱，因为物联网自身特性，其它类型设备或行业也存在个人隐私泄露问题。典型的物联网系统由“服务端、管控端（移动应用APP）、终端、通信端”组成，设备终端在收取到相关信息后，会通过通信链路（多数为无线）传送至服务端或应用端APP；在系统需要更新时，服务端也会将更新包下发至终端，同时应用端APP也会和服务器进行双向通信。由此可见，IoT系统每侧都有可能存在隐私泄露风险。

经过360北极星团队在智能门锁、智能摄像头、智能水电表、智能音箱等多个领域研究，总结出以下导致个人隐私泄漏的原因。

服务端：几乎所有的物联网系统会将关键信息保存在服务端，包括用户信息、设备终端或移动端APP采集数据、日常操作记录等。然而部分IoT设备厂商的服务端无身份验证或采用弱身份认证，黑客可构建非法链接，假冒身份访问服务端以获取服务端数据。

设备终端：某些物联网设备会将部门关键数据存储在设备终端，例如某些智能门禁系统，将用户人脸信息、账号信息等存储在终端本地，以方便信息认证。但是在将关键信息保持在本地的同时，未能采取有效的保护手段，导致本地数据易被获取。例如设备主板留有调试接口，或是固件不具备反编译、反调式功能，导致黑客可轻松拿到ROOT权限，进而获取保存在终端的信息。

管控端（移动应用APP）：大多物联网厂商在设计时，重点在设备终端和服务端，往往忽略了移动应用的设计尤其安全侧的设计。与之相反的是，移动端作为终端和服务端沟通的桥梁，负责大量关键信息的传输。与此同时， APP破解技术时已非常成熟，因此APP端最容易成为黑客的攻击点，大部分隐私泄漏也因此而起。

通信端：物联网系统中通信，包括终端与管控端互联、终端与服务端互联、管控端与服务端互联，同时应用多种通信协议包括蓝牙、wifi、蜂窝网络等。大量通信过程部分或全部明文传输，导致数据易被窃取。根据北极星团队的测试结果发现，即便采用HTTPS加密传输方式，在获取某些权限后，依然可对数据包进行抓取、解密。

针对众多可能导致物联网系统隐私泄漏的风险，结合各个物联网行业的安全标准，360北极星团队提供“物联网系统安全渗透服务”，可基于检测工具对IoT系统软件软件进行快速检测，也可由渗透专家对IoT系统软硬件进行检测，深度挖掘可能存在的风险和漏洞。检测对象包括但不限于以下内容：

360社区

360北极星安全渗透服务提供专业渗透流程，事先针对性的制定检测范围和检测计划，实施阶段通过“人工+自动化检测工具”的方式快速且精准定位风险，根据检测结果给出最优的解决方案，协助客户解决问题；并且北极星团队会进行二次评估，对已修复的风险点以及可能出现的次生风险进行验证，保证物联网系统在上线前不再存在隐私泄漏风险。

北极星团队是360物联网（IOT）领域的顶尖攻防战队，团队由从事多年IOT系统安全渗透工作的攻击组，以及三六零天御专攻移动端安全防护的防御组组成，拥有对车联网、智能家居、智能城市、智能医疗、智能安控等众多IOT领域的攻防能力。

360社区

在对抗物联网威胁的道路中，三六零北极星会利用最先进的技术、最强的专家团队，建立最完整最权威的防御体系，应对不断变化的物联网安全风险，坚持“万物互联，指引未来”的使命，守护IoT物联网安全。

来源： 360企业安全

支持一下

360守护IoT物联网安全！！！

谢谢分享！