中國(guó)消費(fèi)者報(bào)上海訊（記者 劉浩）智能門(mén)鈴成“偷聽(tīng)設(shè)備”？智能家居真的安全嗎？3月15日，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)發(fā)布智能家居“黑客攻擊”測(cè)試報(bào)告。報(bào)告顯示，測(cè)試的部分產(chǎn)品存在安全漏洞，消費(fèi)者個(gè)人信息易泄露。

2021年11月至2022年2月，上海市消保委聯(lián)合第三方專業(yè)機(jī)構(gòu)開(kāi)展了智能家居設(shè)備安全性能測(cè)試，在各主流電商平臺(tái)上選取了A、B、C、D、E、F6款搜索排名靠前的智能門(mén)鈴和門(mén)禁產(chǎn)品，并對(duì)其APP、小程序、web后臺(tái)、教程等功能進(jìn)行測(cè)試。其中A、B、C3款品牌為智能門(mén)鈴，D、E、F3款品牌為智能門(mén)禁。

測(cè)試結(jié)果顯示：部分產(chǎn)品存在安全漏洞。其中，B品牌有2個(gè)高危漏洞，1個(gè)中危漏洞。C品牌有1個(gè)中危漏洞。而D品牌有4個(gè)高危漏洞，2個(gè)中危漏洞。E品牌有1個(gè)中危漏洞。F品牌有1個(gè)高危漏洞，1個(gè)中危漏洞。

測(cè)試顯示，攻擊者可以通過(guò)抓包軟件繞過(guò)認(rèn)證，獲取服務(wù)端或客戶端的大量信息。消費(fèi)者個(gè)人信息遭到泄露。如D品牌、F品牌等存在認(rèn)證繞過(guò)漏洞，攻擊者可以將提交到服務(wù)端的驗(yàn)證數(shù)據(jù)包進(jìn)行抓取，然后對(duì)其暴力破解，就能繞開(kāi)認(rèn)證并查看到服務(wù)端存儲(chǔ)的大量用戶信息，也可以在客戶端進(jìn)行抓包并修改回應(yīng)包，看到用戶個(gè)人信息。

D品牌漏洞測(cè)試詳情：打開(kāi)抓包軟件，即可看到用戶手機(jī)號(hào)，姓名，年齡，公司住址等信息。

F品牌漏洞測(cè)試詳情：登錄小程序，抓取設(shè)備界面數(shù)據(jù)包，發(fā)現(xiàn)有一個(gè)未加密顯示手機(jī)號(hào)的數(shù)據(jù)包。通過(guò)修改手機(jī)號(hào)，可越權(quán)查看他人所擁有的設(shè)備。

攻擊者可以通過(guò)簡(jiǎn)單粗暴的“抓包”加暴力破解弱密碼，利用漏洞組合獲取用戶的賬號(hào)和密碼，登錄后獲得他人攝像頭、麥克風(fēng)等權(quán)限，可以自由調(diào)取錄像，甚至聽(tīng)取房間家庭成員間的交談。消費(fèi)者的隱私難以保障。如在測(cè)試B品牌時(shí)，攻擊者先通過(guò)“抓包”，挖掘出用戶手機(jī)號(hào)碼。如果該用戶密碼設(shè)置過(guò)于簡(jiǎn)單，比如默認(rèn)密碼或是簡(jiǎn)單的數(shù)字密碼，攻擊者繼而暴力破解，對(duì)密碼逐個(gè)推算，反復(fù)試錯(cuò)，得到相應(yīng)的密碼，登錄后竊取用戶隱私。

B品牌漏洞測(cè)試詳情：進(jìn)入平臺(tái)社區(qū)交流界面，可看到經(jīng)過(guò)*號(hào)處理過(guò)的手機(jī)號(hào)，抓包查看返回包，即可得到該用戶手機(jī)號(hào)碼。再暴力破解獲得弱密碼，成功登錄，并可以查看相關(guān)重要信息。

攻擊者可以利用應(yīng)用程序傳參驗(yàn)證過(guò)濾不嚴(yán)，在后臺(tái)不知情的條件下實(shí)現(xiàn)非法授權(quán)和操作，導(dǎo)致攻擊者構(gòu)造的數(shù)據(jù)庫(kù)代碼被后臺(tái)執(zhí)行。攻擊者可以未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)，結(jié)合其他漏洞實(shí)現(xiàn)遠(yuǎn)程開(kāi)電子門(mén)鎖等功能，消費(fèi)者居家安全面臨風(fēng)險(xiǎn)。如D品牌設(shè)備的管理后臺(tái)存在3處該漏洞。同時(shí)，該設(shè)備的開(kāi)門(mén)小程序也存在缺陷，簡(jiǎn)單重復(fù)此開(kāi)門(mén)包，攻擊者就能實(shí)現(xiàn)遠(yuǎn)程任意開(kāi)門(mén)。

D品牌漏洞測(cè)試詳情：第一處：通過(guò)ascii來(lái)爆破數(shù)據(jù)庫(kù)用戶的第一個(gè)字符，漏洞參數(shù)是login_account；第二處：使用user()可直接獲取數(shù)據(jù)庫(kù)用戶名；第三處：嘗試使用相關(guān)工具可直接注入出目標(biāo)數(shù)據(jù)庫(kù)的所有消息。

此外，這些設(shè)備還存在中間人攻擊、存儲(chǔ)型XSS、文件上傳等漏洞，而且不少產(chǎn)品屬于相同設(shè)備代工生產(chǎn)，同質(zhì)化情況較為嚴(yán)重。

據(jù)上海市消保委介紹，雖然本次模擬黑客攻擊的測(cè)試針對(duì)的是智能門(mén)鈴和智能門(mén)禁類產(chǎn)品，但智能化家電家居設(shè)備在底層技術(shù)、通用硬件、數(shù)據(jù)后臺(tái)等方面有高度的類同性。專家組判斷，市場(chǎng)上相當(dāng)比例的智能家居產(chǎn)品信息安全水平普遍較低，對(duì)于消費(fèi)者隱私存著較大風(fēng)險(xiǎn)。