新民晚报讯（记者 金旻矣）网络远程攻击的漏洞，采集消费者信息的隐患……近年来，智能家居技术和产业链快速发展，随之而来的安全性问题也渐受关注。对此，上海市消保委联合第三方机构，对6款智能门铃和门禁产品进行安全性能测试，发现三大安全漏洞。

首先，攻击者可以通过抓包软件绕过认证，获取服务端或客户端的大量信息，消费者个人信息遭到泄露。比如有个品牌的产品，测试者打开抓包软件后，就可看到用户手机号、姓名、年龄、公司住址等信息。另一品牌的产品，测试者登录小程序，抓取设备界面数据包，发现有一个未加密显示手机号的数据包。通过修改手机号，就可越权查看他人所拥有的设备。

其次，攻击者可利用漏洞组合获取用户的账号和密码，登录后获得他人摄像头、麦克风等权限，还可自由调取录像，甚至听取家庭成员间的交谈。如此，消费者的隐私难以保障。比如某一品牌，攻击者先挖掘出用户手机号码，如果密码设置过于简单，攻击者反复试错后就可得到密码，登录后窃取用户隐私。又如另一品牌，进入平台社区交流界面就可看到经过*号处理过的手机号，抓包查看返回包，即可得到该用户手机号码。再暴力破解获得弱密码，便可查看重要信息。

此外，测试人员还发现，攻击者可未经授权访问数据库，结合其他漏洞，实现远程开电子门锁等功能，消费者居家安全面临风险。比如，某品牌设备的管理后台存在3处漏洞，开门小程序也存在缺陷，攻击者可远程任意开门。另外，这些设备还存在中间人攻击、存储型XSS、文件上传等漏洞，而且不少产品属于相同设备代工生产，同质化情况较为严重。

消保委表示，虽然此次模拟黑客攻击测试，针对的只是智能门铃和智能门禁类产品，但智能化家电家居设备具有高度类同性。专家判断，市场上智能家居产品信息安全水平普遍较低，消费者隐私存在较大风险。

消保委建议，消费者尽量选购大品牌智能家居产品，尽量选购具有输入错误报警和防破坏报警功能的产品，提高数字密码安全系数，并树立网络安全防范意识，及时更新系统、升级固件；智能家居厂商应不断提升终端设备安全性能等级，同时加强云端数据安全管理，把重心从营销转移到技术研发上；相关部门尽快开展智能家居产品安全性能调研，排摸相关风险，针对技术、系统漏洞带来的危害和风险出台相关的安全标准和规范。

‍

‍

标签： 安全性能 手机号码 电子门锁

责任编辑：