首頁 > 關于我們 > 新聞動態 > 深度解讀

啟明星辰ADLab:智能音箱網絡安全與隱私研究報告

發布時間 2019-07-12

本報告重點分析了智能音箱面臨的安全風險和隱私風險。通過對智能音箱的研究,啟明星辰ADLab發現了產品中存在有硬件調試接口漏洞、DLNA服務越權漏洞、服務端口越權漏洞等十余個安全漏洞,這些漏洞可造成未授權設備控制、語音竊聽、敏感信息泄露等。啟明星辰ADLab已第一時間向CNVD和CNNVD進行了漏洞通報,并與ICSCERT聯合發布了《智能音箱隱私與網絡安全分析報告》。



目錄



一、市場發展與未來趨勢 


二、技術發展 


2.1 智能音箱功能 

2.2語音交互技術 

2.3組網模式 

2.4安全及隱私風險研究的必要性 


三、智能音箱安全風險與案例分析


3.1設備端 

3.1.1開放的調試接口 

3.1.2 內置的后門 

3.1.3未授權的開放端口 

3.1.4 開放未授權的DLNADigital Living Network Alliance) 服務 

3.1.5 代碼缺陷


3.2 APP側 

3.2.1 APP申請過多的權限 

3.2.2 APP通信 


3.3設備互聯及第三方服務 

3.3.1 設備間互聯互通協議 

3.3.2第三方內容審核 

3.3.3聲紋識別算法缺陷 


四、隱私風險


4.1 誤喚醒 

4.2 過多的權限 

4.3 音箱的日志信息被泄露 

4.4 錄音信息可以被長期跟蹤學習 

4.5 API敏感信息泄漏風險 

4.6 用戶無法管理自己的隱私信息 


五、風險防護及安全建議 



一、市場發展與未來趨勢



2014年11月,亞馬遜低調發布一款智能音箱Echo,它標志著智能音箱市場發展的開始。2015年銷量達到250萬臺,2016年的銷量達到520萬臺,也因此憑借不俗的銷量一舉超越傳統音箱領頭羊Sonos,奪得在線音箱行業市場銷售頭把交椅。一度在智能音箱市場細分領域占據了極大部分的市場份額。亞馬遜發布的智能音箱Echo受到了市場強烈反應,引發了全球智能音箱熱潮。隨后谷歌公司在20175月份也發布了自家的智能音箱產品Google home。緊跟著,蘋果公司在2017年發布智能音箱HomePod。隨著國外各大巨頭廠商相繼發布各自的智能音箱產品,國內廠商也緊追其后,紛紛入場布局。首先京東和科大訊飛合作推出了中國版Echo”叮咚音箱,隨后酷狗、阿里巴巴、小米、百度、華為等企業也先后跟進,陸續通過自研或者合作的方式入局。


全球智能音箱市場發展飛快,快速爆發,2017年全年出貨量達到了3220萬臺中國智能音箱市場增長迅猛,目前已經成為全球第二大智能音箱市場。


智能音箱極大拓展了傳統音箱的能力范疇,就音樂這一特質來講,智能音箱不僅會保留而且還會進行相應的加強。根據相關機構的調研資料了解到,消費者購買原因還是比較單一,購買智能音箱的首要選擇還是用來聽音樂,占比達到90%。不過在未來的智能音箱的發展中,音質和優質內容相結合將會是一種潮流。廠商方面,音頻廠商與科技類公司進行合作,相繼推出性能較強的智能音箱,會帶動一批主打音質的智能音箱產品。隨著智能音箱產品的增長,產品之間互聯互通成為后續發展趨勢,同樣這也符合智能家居發展規律,能將智能音響融入到物聯網世界里,接入多方產品的平臺,完善平臺布局。智能音箱的實質是語音交互產品,語音交互技術直接影響到用戶體驗,因此具備更加智能化,個性化也是消費者所期待的,或將成為智能音箱行業的核心競爭技術。



二、技術發展



智能音響是傳統音箱升級的產物,家庭消費者可以通過它上網點播歌曲,上網購物,亦或是了解天氣預報,定時鬧鐘,新聞資訊等。它也可以對智能家居設備進行控制,比如打開窗簾,設置冰箱溫度,提前打開熱水器升溫等,這種智能音箱是接入了智能家居網絡中可以進行的操作。其實智能音箱核心比較簡要,就是讓機器在語言對話這一環節擁有近似于人類的識別能力,并滲入到人們的日常生活中。


2.1 智能音箱功能


智能音箱應該具備語音交互能力,并提供內容服務、互聯網服務,以及場景化智能家居的控制能力,如下圖所示:



1 智能音箱功能示意圖


智能音箱不同于傳統音箱,它將是物聯網世界的語言入口。


2.2語音交互技術


智能音箱的發展與火爆離不開語音交互技術的支撐,當然,強大的語音交互的背后也離不開大數據、機器學習及人工智能等技術的支持。各大語音技術廠商通過自主研發軟硬件產品,或對外輸出語言技術,賦能傳統智能音箱廠商、內容和互聯網服務廠商,獲取用戶信息和數據,建立物聯網生態平臺。2017124日,中國電子科技集團公司第三研究所(簡稱中電三所)聯合中國電子學會消費者電子分會聯合發布了,以娛心悅耳,音智雙全為主題的智能音箱評測發布會。會上發布了當時市場關注度較為集中的五款智能音箱的評測方法與結果。對智能音箱的識別準確率測試結果如下圖所示:



2  智能音箱識別準確率


2.3組網模式


一般地,用戶通過手機端app進行全面操控,例如用戶注冊,登陸,各種基礎和個性設置以及服務內容定制等。手機端app只和遠程云服務器進行通信,云服務器作為鵲橋,將用戶指令轉發給智能音箱,智能音箱響應云服務器下達的指令。響應結果再通過云服務器反饋到手機端并展示給用戶。當然,用戶可以通過語音交互直接和智能音箱交流,智能音箱接收到語音信息后,將語音信息打包轉發給云服務器進行解析。云服務器將語言信息轉義后形成指令再次返給智能音箱進行執行,執行結果通過云服務器再次反饋到手機端展示給用戶。云服務器和智能音箱之間的通信協議,各家都不同。例如,小米之前使用過miio協議等。智能音箱作為智能家居中一個重要設備節點,當然也支持與第三方設備進行控制協議交互,使用的通信協議通常是自定義的。對于智能音箱本身,通常自身具備連接局域網WiFi的功能。下圖為智能音箱組網模式。



3 組網示意圖


2.4安全及隱私風險研究的必要性


人類的語音內容中包括了豐富的個人信息。通過語音內容,分析人員可以獲得個人的年齡、性別、籍貫、健康情況、周圍環境等個人敏感信息。所以智能音箱的語音采集及利用涉及到敏感的個人隱私問題。


隱私權是人的基本人權,公眾有權利了解自己的個人信息是如何被采集的,什么時候被采集的,在哪里被采集,公眾有權利決定自己的個人信息如電采集,保存及使用方式。隨著民眾自我保護意識的提高及法律的進步,加強個人信息安全及隱私保護的呼聲也越來越高。


2018年,歐盟開始實施GDPR法案,要求企業必須保障個人隱私安全。


2018年51日,國家《信息安全技術個人信息安全規范》正式實施,填補了國內個人信息保護在具體實際標準上的空白。


近年來,關于智能音箱涉及的安全及隱私問題也常常見報端。



4  智能音箱個人信息泄露報道


因此研究智能音箱的安全及隱私問題顯得十分必要,為此我們研究了八款市場主流的智能音箱設備,其中2款涉及到國外廠家,6款產品涉及到國內廠家。



三、智能音箱安全風險與案例分析



智能音箱的安全風險主要存在于智能音箱設備端、智能音箱APP及智能音箱的第三服務及互聯協議三部分。


啟明星辰在對音箱的安全研究期間,共向CNVD(國家信息安全漏洞管理平臺)及CNNVD(中國國家信息安全漏洞庫)提交了十多個設備安全漏洞,部分設備的編號及說明如下表所示。




3.1設備端


3.1.1開放的調試接口


為了生產及維護環節的便利,許多智能音箱都開放了對外的調試接口,這些接口包括usb調試口、TTL調試口。通過這些接口,廠家可以對問題設備的固件進行更新。但是這些開放的調試接口同樣為攻擊者提供了分析固件和設備攻擊提供了便利,更進一步的攻擊者可以向設備安裝惡意的固件,然后投放到市場銷售。



開放的調試接口


3.1.2 內置的后門


在智能音箱的固件分析中,我們發現部分廠家在固件中設置了后門,使得廠家可以在用戶不知情的情況下,可以遠程地控制全網所有音箱,并執行任意系統命令,對用戶隱私及設備安全造成了極大隱患。



智能音箱后門示例


3.1.3未授權的開放端口


部分音箱開放了部分的開放端口,通過這些開放端口,利用未授權的開放端口,攻擊者可以控制音箱播放惡意音頻或者進行錄音。


某智能音箱監聽8080端口,如果攻擊者通過向該8080端口發送相關的控制命令即可完全控制音箱設備。



未授權的開放端口


3.1.4 開放未授權的DLNADigital Living Network Alliance) 服務


我們發現部分音箱開放了未授權的DLNA服務,局域網內的攻擊者可以攻擊者可以控制音箱播放惡意音頻或者是中斷音箱正在播放的內容。這種攻擊對于運用于公共場所的音箱,有很大的安全隱患。



開放的DLNA服務


3.1.5 代碼缺陷


部分音箱在代碼實現上存在缺陷使得攻擊者可以通過命令注入漏洞開啟telnet服務,并完全控制音箱設備實現對設備的錄音等惡意操作。存在命令注入代碼如下圖所示:



獲取playurl


獲取playurl后,進行命令拼接,導致任意命令執行。



10 任意命令注入執行


成功攻擊后,開啟telnet服務。



11 成功開啟telent服務


3.2 APP


3.2.1 APP申請過多的權限


APP申請權限過多的問題比較嚴重,在我們測試的國產音箱中,該問題全部存在。其中過度的權限包括但不限于APP讀取短信,讀取手機的識別碼,發送/讀取短信/彩信的權限,打開攝像頭的權限,讀取用戶通話記錄及已手機已安裝應用信息,撥打電話,使用呼叫轉移,讀取運動數據的等敏感權限。



12 敏感權限


3.2.2 APP通信


通信協議未加密問題,使得攻擊者可以利用這些暴露的安全問題,獲得設備的控制權。



13 APP通信抓包


3.3設備互聯及第三方服務


3.3.1 設備間互聯互通協議


在智能家居的場景中,智能音箱起到了控制中心的地位,智能音箱通過識別用戶的語音命令,通過智能家居的互聯協議控制其他家居設備。我們在研究智能音箱的時候,發現部分廠家在智能家居設備的互聯協議中沒有采用必要的安全審核機制,特別是設備和設備之間合法性驗證。攻擊者利用這些設計缺陷就可以竊取音箱的語音命令內容或者非法控制其他智能家居設備。


3.3.2第三方內容審核


由于智能音箱的使用者,很大一部分是兒童。因此對智能音箱來說對音頻回復內容的審核應該要有一定的敏感內容防護,不能回復反動音頻或者是粗口內容。在我們研究的過程中,我們發現個別音箱在處理內容識別時,缺少必要的防護,使得在一些特定的中英混合問題的場景中,智能音箱會回復粗口的內容。


3.3.3聲紋識別算法缺陷


在某款用于購物的音箱設備中,采用了聲紋識別的技術用于用戶的交易身份的鑒定,但是我們的測試中,發現聲紋識別的誤識率較高,在生物識別技術中(如虹膜,指紋,指靜脈),由于聲紋技術及設備成本的約束,聲紋識別的識假率較低。有些廠家的聲紋技術無法對抗錄音及人聲模擬的攻擊,而這些攻擊手段對于攻擊者來說是較簡單的。



四、隱私風險



4.1 誤喚醒


在音箱的使用場景中,只有用戶喚醒音箱后,音箱才能收集用戶的語音信息。而由于有些音箱的喚醒算法存在缺陷,使得音箱經常在未被喚醒的情況下,自行喚醒,并且收集用戶語音,上傳到后臺進行識別。這樣會使得用戶的隱私存在泄漏風險。在我們測試的音箱中有五款智能音箱存在不同程度的誤喚醒情況。占比達到56%。


4.2 過多的權限


APP申請的包括APP讀取短信,發送短信的權限,攝像頭的權限,通話記錄及已安裝應用信息,使用呼叫轉移,讀取運動數據的等敏感權限。


在音箱的使用場景中,在天氣預報的時候需要獲取用戶所在的城市的位置,在一般的使用情況下,只需要音箱的外網IP地址即可獲取用戶的地區位置,而某些音箱除此之外還獲取用戶家中路由器的WIFIBSSID信息及GPRS位置信息。


4.3 音箱的日志信息被泄露


某些音箱每天會上傳用戶音箱的系統日志信息,這些日志信息不僅包括音箱的日常使用信息,還包括了音箱所在局域網的WI-FI的密碼信息。


4.4 錄音信息可以被長期跟蹤學習


在我們研究的這些音箱的遠場音頻處理模塊會對設備的采集過程中,會對同一設備采集的音頻會偷偷打上唯一標識。這些語音文件保存到云端后,第三方廠家在進行語音分析及AI建模時,可以通過隱藏的聲音標識定位到個人,可以對同一家庭成員的聲音進行追蹤,可以對個人的語音特征變化進行長時間的跟蹤和學習。


4.5 API敏感信息泄漏風險


智能音箱的產業鏈中包括了音箱設備廠家、語音識別及語音合成平臺廠家、遠場音頻處理廠家、NLP算法廠家、音頻內容提供商、外圍設備商等。


在智能音箱廠家與產業鏈廠家交互中API,包括用戶的手機號,詳細地理位置,WI-FIBSSID,MAC地址等用戶隱私信息,而這些信息對于產業鏈廠家來說不是業務所必須的。


4.6 用戶無法管理自己的隱私信息


用戶有權利決定自己的個人語音信息在云端的保存。廠家應為用戶管理這些隱私信息提供服務入口。


國外的智能語音設備廠家如亞馬遜在APP側及音箱側為用戶提供了刪除云端個人錄音。亞馬遜音箱用戶只需要對音箱說“Alexa,刪除我今天所說的一切。亞馬遜將會刪除在云端保存的用戶錄音。


可惜的是目前我們沒有在國內產品中看到這些有利保護用戶隱私的措施。



五、風險防護及安全建議



通過對多款智能音箱進行深入地研究,我們總結出五個方面的安全問題,分別為安全風險、設備端、APP側、外接設備及第三方組件以及隱私風險。


設備端問題主要是智能設備開發板暴露出調試串口,可以通過調試器將設備中的固件獨讀取出來進行逆向分析,導致固件泄露。


APP側問題主要是存在被逆向分析的風險,我們在研究過程中,對多款智能音箱的手機端app進行了逆向分析,發現了很多關鍵問題,例如,設備和云服務器之間的通信協議。智能音箱中使用通過第三方協議進行局域網音頻播放,而使用的第三方協議是沒有進行設備認證的。


最重要的一個安全問題就是隱私問題,我們發現多款設備都存在收集用戶信息并打包回傳云服務器的功能。其中有的設備被攻擊后,在用戶不知曉的情況下,可以進行錄音操作。甚至還能回溯用戶的使用痕跡和語音痕跡。


針對這些安全問題,需要一一進行防護。APP側要使用加固手段,防止被逆向分析,將一些關鍵協議的實現放到native層實現。對于外接設備及第三方組件,智能設備廠商需要對第三方廠商的安全準入進行把關。


隱私問題是一個大問題,同時也是一個廣泛的社會問題,廠商可能通過收集用戶使用信息來分析用戶行為以便更好的提供服務,但應當考慮隱私邊界。同時對于收集到的用戶信息應做到加密,不能只管收集不管保護,廠商應該承擔起自己的社會責任。


全國政協委員、啟明星辰集團CEO嚴望佳在2019 全國政協會議上提交了三個提案,其中《關于加快完善數字經濟時代數據法治建設的提案》和《關于規范人工智能安全健康發展的提案》與個人隱私相關。這兩個提案建議加快《數據安全法》工作及《個人信息保護法》工作,加快開展人工智能安全應用法規和倫理道德研究及應用安全測評工作。


盡早開展人工智能相關法規和道德倫理以及安全性的評估,化解風險,這將推動人工智能更好更快地發展。

上一篇 下一篇