中国物联网(IoT)科技公司涂鸦智能正在美国消费者智能设备市场攻城略地,但该公司产品的安全性最近受到业界人士的质疑。甚至有美国研究人员呼吁,美国政府应该像封锁华为那样禁止涂鸦在美国市场运作。
无所不在的涂鸦智能技术
涂鸦智能是一个全球物联网云平台服务商,同时提供硬件和软件产品。涂鸦智能成立于2014年,现已成为全球市场上最大的IoT物联网平台服务提供商,今年三月在美国纽约证券交易所上市。
传统电器企业生产静态的、互不相连的产品;涂鸦公司通过其智能软件和在后台远程运行的云服务,让传统设备联网、并与其他智能设备分享信息和功能,让传统家用电器和工具“活”了起来。
涂鸦智能今年三月在一份IPO声明中说,2020年,涂鸦智能为超过1.165亿台智能设备提供支持,是全球物联网PaaS(platform as a service,平台即服务)市场上最大的公司。
美国市场上有许多智能温度控制器、智能摄像头、智能电灯等设备,虽然不是标明涂鸦品牌,但可能使用了涂鸦的硬件模组、软件、代码,或是使用了涂鸦的IoT云平台。美国企业研究所(AEI)两名高级研究员7月30日在《国会山报》(The Hill)发表文章,题目是:“涂鸦可能成为比俄罗斯勒索软件攻击更严重的中国威胁”。
文章分析指出,在过去几年中,美国和20多个国家禁止或大幅限制中国电信公司华为建设或管理5G通讯网络,原因是担心华为可能暗中与中国政府分享全球5G网络通讯中的海量数据。作者主张,美国国会应该基于同样的安全考量禁止涂鸦公司在美国运作、禁止其与美国企业进行往来。
中国的数据安全法规定:公安机关、国家安全机关因维护国家安全或者侦查犯罪的需要调取数据,有关组织、个人应当予以配合。中国的网络安全法和国家安全法在这方面都有类似的规定。
《国会山报》文章作者之一、AEI高级研究员科隆·科钦(Klon Kitchen)通过电子邮件对美国之音说,涂鸦产品的问题不同于普通的网络安全问题,“这关乎的是中国法律要求像涂鸦这样的公司交出他们所有的数据。”
科钦说,涂鸦的安全威胁不在于是否其在安全上是否有所作为,也不在于这家公司是否存有任何恶意动机,而是在于涂鸦必须遵循中国法律。他说,无论涂鸦智能如何收集、传输和保存用户数据,“仍然必须要(把数据)交给中共,因此这里有个持续存在的威胁必须解决。”
物联网业界人士说,一家从事智能设备服务的公司可以给美国国家安全带来威胁,并非天方夜谭。
美国物联网软件开发商Pepper IoT公司首席执行官斯科特·福特(Scott Ford)说,“假设一个外国的(物联网科技)平台进入了一千万个甚至更多的美国家庭,这将是一个不断增长的风险。你可以看到,某个外国实体通过了解美国家庭里发生的事情,通过这些控制……甚至战争风险都可能会发生。”
福特对美国之音说:“他们可以了解用户是否在家,能够立即调高所有人的温控器,给电网带来问题,能够随时获取视频。所以由于我们目前没有监管的环境,这类领域得不到保护。这些事情绝对有可能会发生,已经有证据表明在过去已经发生。”
报告:大部分物联网设备都与中国有联系
美国网络安全公司Dark Cubed今年研究了美国市场上10款价格在20到100美元区间的家庭智能设备(智能摄像头、智能电灯等)的网络安全性能,发现其中大部分产品背后都有涂鸦智能技术的支撑,而这些产品都存在网络安全隐患。
这份今年三月发表的研究报告说:“我们审查的每一台物联网设备都与中国有业务联系,并且观察到每一款产品都在没有经过许可的情况下与中国的基础设施进行了数据通信……”
这项研究发现,大部分设备都与设在中国的服务器存在至少一处网络连接、许多产品无法通过最基本的网络安全检验、大多数设备网络中的第三方可以轻易获取器材拍摄到的私人隐私图像、大多数产品的安卓手机应用程序“完全不安全,并且向中国传送数据”。
Dark Cubed公司首席执行官(CEO)文斯·克里斯勒(Vince Crisler)对美国之音说:“没有人会在乎纽约一台Nest温控器被黑客攻击了,对不对?但如果纽约市所有的Nest温控器都同时开启同时关闭,造成电网瘫痪呢?”
“没有人会在乎一个人被(智能设备)窃听,但如果数十万、数百万的智能电灯在窃听你的所有信息、搜集那些可以用于未来战略能力的信息,情况就不一样了。”克里斯勒说:“问题是,有没有这种做法的可能,我想答案是肯定的。”
针对物联网智能设备的黑客袭击并非纸上谈兵。2016年,黑客使用“未来”(Mirai)恶意软件攻陷了上万个智能摄像头、DVR录像机和路由器等物联网设备,以这些设备作为“僵尸”节点发起大规模分布式拒绝服务(DDoS)攻击,导致美国东岸大面积断网,多个著名网站无法正常访问。而被黑的摄像头大部分为中国企业生产。
Dark Cubed的研究报告说,在手机应用程序(app)方面,这些智能产品存在明显的安全缺陷:几款使用涂鸦代码的智能摄像头手机app设置,能让用户受到远程跟踪。
公司CEO克里斯勒说:“当我们查看这些应用程序时,它们做得不好,设计得不是很安全,信息泄露的可能性很大。涂鸦拥有从(智能)灯泡硬件到软件,再到你手机上的应用程序的整个链条,对其进行控制。涂鸦是如何使用这些数据的,外界一无所知。”
Pepper IoT公司的首席运营官(COO)特里·卡尔顿(Terry Carlton)说,物联网系统做得不安全,风险是多方面的。
“你的个人信息面临风险。任何事情都与个人信息的可访问性有关;你的使用存在风险,尤其是视频……此外,这里还存在WiFi网络其余部分的风险。”
Dark Cubed的研究发现,几款使用中国IoT平台的智能摄像头的数据安全隐患,可以让网络中的第三方轻易获取用户家里摄像头拍摄到的画面,带来了隐私保护方面的问题。
IoT平台安全问题已引起美国会议员注意
从模组硬件、软件到后台的云服务,涂鸦智能设计的品牌和产品极广。涂鸦公司的纽约上市招股书显示,2020年,涂鸦智能拥有26.2万开发者,客户超过5000名,主要包括品牌、OEM、行业运营商和系统集成商。Calex、飞利浦和施耐德电气等著名品牌都基于涂鸦的物联网PaaS开发数千种智能设备,这些产品销售于全球220多个国家和地区。
涂鸦的云平台可以允许用户在美国和西方市场流行的亚马逊网络服务、微软Azure等主要云基础设施之间切换,并兼容亚马逊Alexa、谷歌助手和三星SmartThings等主流智能技术。
涂鸦智能核心高管主要来自于阿里巴巴,并得到了腾讯公司的投资支持。涂鸦今年三月在美国纽约证交所上市时,市值达到118亿美元。
美国企业研究所高级研究员科钦对涂鸦在美上市未遇任何阻力感到困惑。但他表示,美国目前拥有应对中国物联网产品安全问题的政策选项,国会也应拿出立法行动,禁止涂鸦在美扩张。
他对美国之音说:“涂鸦是压倒性的市场领导者,正在美国迅速站稳脚跟。我们必须解决涂鸦以外的更大问题,但我们不能等待完美的解决方案,同时允许中共深挖美国物联网基础设施。”
“其次,我们需要一个更加连贯和推进的战略来应对中国利用名义上的‘私人’公司作为政府延伸的更广泛威胁。”
美国之音记者向涂鸦智能发出寻求评论的请求,负责涂鸦公司公关事务的ICR策略传播和咨询公司在电邮回复中表示将提供详尽的声明,但截至记者截稿前,都未收到相关回应。该公司目前也还没有公开回应网络安全报告和研究人员对其技术产品的安全质疑。
美国政府2020年通过《物联网网络安全改进法》(Internet of Things Cybersecurity Improvement Act of 2020),要求联邦机构不得购买不符合安全要求的物联网设备,但对消费者物联网市场的管理还没有跟进。
美国拜登总统延续了前总统特朗普2019年签署的涉及保障美国信息及通讯技术和服务供应链的13873号行政命令(E.O. 13873)。这一行政命令赋予美国商务部长权力,审查和拒绝“由外国对手所有、控制、服从或按照其指示”设计、开发、制造或供应的任何信息通讯技术产品的任何收购、进口、转让、安装、交易或使用。
《国会山报》的分析指出,美国可以基于这一行政命令给涂鸦下达禁令。两名作者呼吁国会立法,禁止涂鸦在美运作。
科钦和一些网络安全从业者透露,目前已经有联邦政府部门和国会议员开始关心中国物联网技术公司对美国形成的安全威胁问题。
“你不能买一个有碎玻璃的玩具,你不能买过期的药,很多包含石棉的东西都买不到了,因为(国会)认为这些是安全问题。”Dark Cubed网络安全公司CEO克里斯勒说:“(智能)设备是不是也会被视为安全问题,因此要有一定的标准?我认为这绝对应该是国会立法的一个起点。”