中国消费者报报道（记者武晓莉）随着人工智能和物联网技术的普及，智能门锁、智能马桶、扫地机器人、智能全屋温控、摄像头等智能家居逐渐普及。值得注意的是，智能家居产品的敏感数据若被不法分子利用，可能造成信息泄露，威胁个人信息和财产安全。

目前智能家居存在哪些安全隐患？其技术原理是什么？如何防范智能家居侵犯个人信息安全？4月27日，记者对此进行了调查。

便捷背后存在安全隐患

2021年，某品牌智能音箱被曝存在漏洞，攻击者可利用蓝牙协议漏洞远程控制设备，即使在设备关闭的状态下仍能监听用户。

现实生活中发生的智能家居安全风险案例层出不穷，比如破解智能马桶的蓝牙通信链路，通过蓝牙发起连接，操纵马桶盖的开启和关闭，自动喷水；入侵智能插座可以远程开启加热装置和电熨斗；通过捕获蓝牙信号，可以破解智能门锁密码，通过远程恶意操作导致设备不可用；家庭摄像头可以成为黑客的直播窗口。

“智能家居主要存在3方面安全隐患。”大消费行业分析师杨怀玉对记者说，“一是许多智能家居设备本身可能存在安全漏洞，黑客通过漏洞远程控制设备，窃取用户个人信息、破坏家庭设备等，二是智能家居设备通常通过互联网进行通信，如果网络安全措施不到位，黑客可能利用网络攻击手段破坏设备通信功能，甚至控制整个智能家居系统，三是智能家居设备存储着用户的个人数据，如使用习惯、偏好设置等，若设备或云服务的安全防护不足，黑客可能通过安全漏洞窃取数据，导致用户隐私泄露和财产损失。”

白牌产品（通常指没有品牌标识或标识不明显的产品）接入非正规平台，是业内人士认为造成智能家居安全隐患的另一个主要原因。360智慧生活集团副总裁孙浩对记者说：“一些智能家居硬件受限于嵌入式平台的性能限制，在网络通信、安全加密等方面不规范的情况下，加上一些小平台能力参差不齐，导致在硬件设备和云端通信、管理方面存在一定安全隐患。”

孙浩认为，目前智能摄像机、智能门锁等品类产品依然存在白牌产品横行的情况，这些产品因为带有摄像头，具备音视频记录、传输功能，对平台能力、运营成本要求较高。很多白牌产品接入非正规云平台，在平台稳定性、安全性方面存在较大安全隐患。

正规平台风险相对可控

“智能家居设备一般通过无线通信协议（如Wi-Fi、Zigbee、Bluetooth等）与家庭网络或其他设备连接，并通过云端处理数据实现远程控制。如果这些通信没有妥善加密或者存在软件漏洞，容易被黑客利用进行攻击。”杨怀玉说，“比如，智能音箱依赖麦克风阵列和语音唤醒技术实现交互，若设备被植入恶意程序，其语音监听功能可能被永久激活。攻击者可通过远程指令绕过‘唤醒词’限制，持续录制用户对话并将数据加密传输。”

另外，部分摄像头因未采用端到端加密或使用弱密码，容易被黑客通过暴力破解或网络钓鱼获取控制权，可能暴露用户生活细节。一些低价智能门锁采用简单加密算法或未配备防撬传感器，攻击者可通过破解指纹模块、复制临时密码或利用Wi-Fi漏洞，在数秒内开门甚至远程解锁。

“智能家居的云端平台和传统互联网有着类似的通信加密和隐私处理机制，正规物联网平台风险相对安全可控。”孙浩说，“正规的物联网云平台针对硬件安全做了较为完善的防护机制，设备端在出厂时写入了‘一机一密’，每个设备的加密秘钥均不同。出厂时从底层写入，只有云端同时入库后才可以和云端进行通信。在用户使用过程中，通信信道和数据内容基于独立的秘钥双重加密，数据存储和秘钥存储隔离，APP端使用时单独获取，末端解密，能够有效保护数据安全，保障隐私合规。”

拒绝盲目授予使用权限

消费者如何防范智能家居侵犯个人信息安全？专家认为，需要留意选购和使用两个方面。“消费者购买智能家居时应选择信誉良好的品牌，知名品牌往往有更严格的安全标准和审核机制。”杨怀玉说，“挑选合规设备优先选择正规销售渠道，并选择通过国家安全认证的产品。”

孙浩认为，目前智能家居硬件行业鱼龙混杂，电商平台上仍有大量白牌产品在售，很多产品使用公版模具、电路板，并接入较小的平台，产品没有经过严格的认证测试，参数虚标、安规防护不足，接入的平台在信息安全和隐私防护方面也存在较大风险。尤其是智能摄像机、智能门锁等产品，白牌比例较高，消费者购买时需要注意辨别。

使用过程也是个人信息泄露的高发时期。孙浩说：“在使用方面，消费者要严格控制对应APP等云服务的授予权限。正常情况下，为了方便配网，APP会索取定位权限、联网权限，但是绝大多数智能家居产品在APP端，不涉及录音、联系人读取、应用列表读取等权限。因此，在没有任何提示说明的情况下，消费者切勿盲目授予使用权限。”

杨怀玉建议，消费者应定期更新软件驱动，修补已知漏洞，提高安全性；使用强密码和双因素认证，以增加账户安全性，防止黑客破解密码；限制网络访问，将智能家居设备隐藏在家庭局域网中，并限制外部访问；使用加密手段，确保设备间通信和数据传输采用加密技术保护；避免使用公共Wi-Fi；关闭不必要的功能，减少潜在安全风险；妥善设置隐私权限，关闭非必要的数据收集和共享权限。