2018年,美国阿肯色州发生了一起备受关注的双重谋杀案。调查过程中,警方认为案发现场一台亚马逊Echo智能音箱可能录下了关键声音证据——因为该设备默认处于"唤醒词监听"状态,一旦检测到接近唤醒词的音素组合就有可能触发录音。亚马逊起初拒绝配合,但在当事人同意后最终提供了相关音频数据。这起案件在全球范围内引发了广泛讨论,但它揭示的问题远不止于司法取证:如果智能音箱可以在当事人不知情的情况下录下案发现场的声音,那么在更普通的日常场景中,它同样有可能成为一台"全天候待命的窃听器"。
你以为只有智能音箱有这个问题?再来看扫地机器人。2022年,一组研究人员在测试中发现,某主流品牌扫地机器人通过其内置的激光雷达传感器和高精度导航系统构建的室内地图,可以被远程上传至厂商云端。更值得警惕的是,这些地图数据的精度足以还原房间布局、家具位置,甚至通过分析门和通道的距离判断哪个房间是卧室、哪个房间是书房。当这些数据被第三方获取时,一个家庭的"数字孪生"就等于被完整复制了出去。
智能门锁呢?2024年,一个安全研究团队发现,多款联网智能门锁的远程开锁日志存在明文传输漏洞,攻击者可以通过嗅探Wi-Fi流量获取开锁记录和时间轴,从而判断出"几点到几点家里没人"。在这个窗口期,从远程解锁到实施物理侵入,风险链条几乎是一条直线。
这些不是个别厂商的极端案例,它们是物联网时代正在发生的普遍现实。根据我们持续跟踪的天吴采集新闻和全球IoT泄密案例汇总,自2016年以来,因智能家居设备泄密导致的安全事件呈逐年上升趋势。亚马逊Echo录音被用作谋杀案证据、Google Assistant录音被人工审听外流、Siri录音隐私诉讼——这些案件的共同点:消费者购买的是一台"便利设备",但厂商获得的是一整套"环境数据和行为模式"。
那么,这个问题跟企业有什么关系?对于绝大多数企业来说,当然不需要管员工家里装了什么样的智能设备。但是,当企业需要接待重要客户、进行高层商业洽谈、或者召开涉密级别较高的会议时,IoT设备的管理就必须进入安全清单。
来看一个具体场景:某企业与一位重要客户约在企业的贵宾接待室进行合作谈判。这个接待室旁边的茶水间里,放了一台企业配置的智能音箱,用于播放背景音乐和查询天气。接待室对面是行政办公室,里面有一台联网的智能扫地机器人,每天上午定时自动清扫——而谈判的时间恰好就在上午。这样的场景下,至少存在三个风险点:第一,智能音箱可能在未被唤醒的情况下,因环境中的某些音素组合触发了录制;第二,扫地机器人的激光传感器可能在清扫过程中绘制了接待室附近的空间布局,这些数据一旦被上传云端,就等于把企业的内部空间结构交给了第三方;第三,如果有员工或访客在接待室附近使用智能门锁或智能照明系统,其操作记录可能会暴露会议室的使用时间规律。
从防护角度,企业可以做的事情非常明确:
第一,在重要会议和客户接待阶段,暂时移除或物理隔绝接待区域周边的所有智能IoT设备。这就是所谓的"物理隔离"——物联网时代最直接也最有效的安全措施。
第二,在企业办公区域建立一个"IoT设备白名单",所有联网设备必须经过登记和安全评估后才能接入企业网络。非必要不联网的设备,优先选择本地模式而非云模式。
第三,在保密培训中新增"IoT环境安全"模块。很多员工已经习惯了在家里叫"小爱同学""天猫精灵"来控制家电,他们往往会下意识地在办公室里也这么做——企业需要帮助他们建立"办公环境不同于家庭环境"的认知切换。
智能音箱可以给你放一首歌,扫地机器人可以把地板拖干净,智能门锁可以让你忘记带钥匙的烦恼。但在涉及商业秘密的场合,这些"家庭成员"必须暂时离开。
北京企密安信息技术服务:企密安提供企业IoT设备安全评估与会议室环境安全检查服务,涵盖智能设备识别、无线信号检测和电磁环境评估,帮助企业在接待重要客户时确保信息环境安全可控。如有需求,欢迎咨询。
