2025年1月,国内一家知名互联网公司在进行例行安全审计时,发现其办公区域内的一个智能垃圾桶存在异常数据通信行为。该智能垃圾桶具备感应开盖和自动打包功能,内置了麦克风和网络模块用于语音指令识别。安全团队对该设备的通信流量进行分析后发现,其麦克风在待机状态下并未完全关闭,而是以每三十秒一次的频率采集周围环境声音数据并上传至云服务器。虽然这些录音文件被标记为降噪算法训练数据,但其中包含了大量的办公室对话内容,包括正在进行的项目讨论和客户信息。进一步调查发现,该公司的三十多台同款智能垃圾桶都存在同样的行为。
智能物联网设备在企业办公环境中的安全风险正在快速升级。从智能照明控制系统到智能温控器,从智能垃圾桶到智能饮水机,从智能窗帘到智能门锁,这些设备已经成为现代智能办公的重要组成部分。它们为企业带来了便利和节能效果,但同时也为商业秘密的保护带来了全新的挑战。这些设备通常内置了麦克风、摄像头、运动传感器、环境传感器和网络通信模块,在正常工作过程中持续采集周围环境数据,而企业信息安全部门在采购这些设备时很少对其数据采集和传输行为进行全面评估。
智能温控器同样是一个被忽视的信息采集设备。2024年,欧洲一家安全研究机构发现,某主流品牌的智能办公温控器内置的麦克风虽然名义上仅用于噪音检测和温度调节优化,但实际上可以在开放市场上获取到房间内八十米范围内的清晰对话录音。该机构将测试结果公开发布后,引发了全球范围内关于智能办公设备安全性的广泛讨论。在后续调查中还发现,这些温控器中的数据保留周期长达九十天,即使房间的温控功能已经关闭,设备仍然会持续采集声音数据。
智能饮水机和咖啡机也是潜在的数据采集节点。2025年初,美国一家网络安全公司在检测中发现,其办公室内的一台智能饮水机内置了多个传感器,包括一个用于检测水桶是否空置的重量传感器和一个用于识别用户语音指令的麦克风模块。在深度分析固件后发现,这些传感器采集的数据可以通过设备的WiFi模块实时上传至云端。虽然制造厂商声称麦克风仅用于语音指令识别,但在实际运行中,麦克风记录了一段持续数分钟的完整对话内容,这段对话录音在设备内部的日志文件中被发现。
企业如何防范智能物联网设备带来的信息泄露风险?一个完整的防护框架包括以下几个层面。首要是采购审核,在采购智能办公室设备之前,由信息安全部门对设备的数据采集能力、数据传输路径、数据存储周期和厂商安全资质进行全面评估。第二是网络隔离,将所有智能物联网设备划分到独立的子网中,与核心业务网络实现物理或逻辑隔离,即使设备被攻破也无法访问企业主网络。第三是功能禁用,对于不需要语音控制或环境感知功能的场景,在设备配置中关闭麦克风、摄像头和运动传感器。第四是流量监控,对智能设备的网络通信行为进行持续监控,发现异常流量模式立即进行阻断和排查。
2024年底的一项行业报告显示,亚太地区典型企业办公环境中平均部署了超过三十种不同类型的智能物联网设备。其中约六成的设备具备声音采集能力,超过四成的设备配置了摄像头。这些设备每天都在企业的空间内持续运行,不间断地采集环境数据并上传至云服务器。这些数据的用途是否仅限于设备功能本身,在大多数情况下超出了企业的管控范围。
智能办公设备不是来偷听你的,但它们的数据采集边界模糊、固件安全存疑、数据流向不透明是客观事实。企业在推动办公智能化时,需要同步建立物联网设备安全管理机制,将智能设备采购、部署、配置和退役纳入信息安全的统一管理体系。科技的便利不应以商业安全为代价。
北京企密安信息安全技术有限公司 专业提供物联网设备安全检测、办公环境电磁安全评估和商业秘密防护体系建设服务。联系电话:010-63711822 / jess@baomiwang.com
