中國物聯網(IoT)科技公司塗鴉智能正在美國消費者智能設備市場攻城略地,但該公司產品的安全性最近受到業界人士的質疑。甚至有美國研究人員呼籲,美國政府應該像封鎖華為那樣禁止塗鴉在美國市場運作。
無所不在的塗鴉智能技術
塗鴉智能是一個全球物聯網雲平台服務商,同時提供硬件和軟件產品。塗鴉智能成立於2014年,現已成為全球市場上最大的IoT物聯網平台服務提供商,今年三月在美國紐約證券交易所上市。
傳統電器企業生產靜態的、互不相連的產品,塗鴉公司通過其智能軟件和在後台遠程運行的雲服務,讓傳統設備聯網、並與其他智能設備分享信息和功能,讓傳統家用電器和工具“活”了起來。
塗鴉智能今年三月在一份IPO聲明中說,2020年,塗鴉智能為超過1.165億台智能設備提供支持,是全球物聯網PaaS(platform as a service,平台即服務)市場上最大的公司。
美國市場上有許多智能溫度控制器、智能攝像頭、智能電燈等設備,雖然不是標明塗鴉品牌,但可能使用了塗鴉的硬件模組、軟件、代碼,或是使用了塗鴉的IoT雲平台。美國企業研究所(AEI)兩名高級研究員7月30日在《國會山報》(The Hill)發表文章,題目是:“塗鴉可能成為比俄羅斯勒索軟件攻擊更嚴重的中國威脅”。
文章分析指出,在過去幾年中,美國和20多個國家禁止或大幅限制中國電信公司華為建設或管理5G通訊網絡,原因是擔心華為可能暗中與中國政府分享全球5G網絡通訊中的海量數據。作者主張,美國國會應該基於同樣的安全考量禁止塗鴉公司在美國運作、禁止其與美國企業進行往來。
中國的數據安全法規定:公安機關、國家安全機關因維護國家安全或者偵查犯罪的需要調取數據,有關組織、個人應當予以配合。中國的網絡安全法和國家安全法在這方面都有類似的規定。
《國會山報》文章作者之一、AEI高級研究員科隆·科欽(Klon Kitchen)通過電子郵件對美國之音說,塗鴉產品的問題不同於普通的網絡安全問題,“這關乎的是中國法律要求像塗鴉這樣的公司交出他們所有的數據。”
科欽說,塗鴉的安全威脅不在於是否在安全上是否有所作為,也不在於這家公司是否存有任何惡意動機,而是在於塗鴉必須遵循中國法律。他說,無論塗鴉智能如何收集、傳輸和保存用戶數據,“仍然必須要(把數據)交給中共,因此這裡有個持續存在的威脅必須解決。”
物聯網業界人士說,一家從事智能設備服務的公司可以給美國國家安全帶來威脅,並未天方夜譚。
美國物聯網軟件開發商Pepper IoT公司首席執行官斯科特·福特(Scott Ford)說,“假設一個外國的(物聯網科技)平台進入了一千萬個甚至更多的美國家庭,這將是一個不斷增長的風險。你可以看到,某個外國實體通過了解美國家庭裡發生的事情,通過這些控制…甚至戰爭風險都可能會發生。”
福特對美國之音說:“他們可以了解用戶是否在家,能夠立即調高所有人的溫控器,給電網帶來問題,能夠隨時獲取視頻。所以由於我們目前沒有監管的環境,這類領域得不到保護。這些事情絕對有可能會發生,已經有證據表明在過去已經發生。”
報告:每一台物聯網設備都與中國有聯繫
美國網絡安全公司Dark Cubed今年研究了美國市場上10款價格在20到100美元區間的家庭智能設備(智能攝像頭、智能電燈等)的網絡安全性能,發現其中大部分產品背後都有塗鴉智能技術的支撐,而這些產品都存在網絡安全隱患。
這份今年三月發表的研究報告說:“我們審查的每一台物聯網設備都與中國有業務聯繫,並且觀察到每一款產品都在沒有經過許可的情況下與中國的基礎設施進行了數據通信…”
這項研究發現,大部分設備都與設在中國的服務器存在至少一處網絡連接、許多產品無法通過最基本的網絡安全檢驗、大多數設備網絡中的第三方可以輕易獲取器材拍攝到的私人隱私圖像、大多數產品的安卓手機應用程序“完全不安全,並且向中國傳送數據”。
Dark Cubed公司首席執行官(CEO)文斯·克里斯勒(Vince Crisler)對美國之音說:“沒有人會在乎紐約一台Nest溫控器被黑客攻擊了,對不對?但如果紐約市所有的Nest溫控器都同時開啟同時關閉,造成電網癱瘓呢?”
“沒有人會在乎一個人被(智能設備)竊聽,但如果數十萬、數百萬的智能電燈在竊聽你的所有信息、蒐集那些可以用於未來戰略能力的信息,情況就不一樣了。”克里斯勒說:“問題是,有沒有這種做法的可能,我想答案是肯定的。”
針對物聯網智能設備的黑客襲擊並非紙上談兵。 2016年黑客使用“未來”(Mirai)惡意軟件攻陷了上萬個智能攝像頭、DVR錄像機和路由器等物聯網設備,以這些設備作為“殭屍”節點發起大規模分佈式拒絕服務(DDoS)攻擊,導緻美國東岸大面積斷網,多個著名網站無法正常訪問。而被黑的攝像頭大部分為中國企業生產。
Dark Cubed的研究報告說,在手機應用程序(app)方面,這些智能產品存在明顯的安全缺陷:幾款使用塗鴉代碼的智能攝像頭手機app設置,能讓用戶受到遠程跟踪。
公司CEO克里斯勒說:“當我們查看這些應用程序時,它們做得不好,設計得不是很安全,信息洩露的可能性很大。塗鴉擁有從(智能)燈泡硬件到軟件,再到你手機上的應用程序的整個鏈條,對其進行控制。塗鴉是如何使用這些數據,外界一無所知。“”
Pepper IoT公司的首席運營官(COO)特里·卡爾頓(Terry Carlton)說,物聯網系統做得不安全,風險是多方面的。
“你的個人信息面臨風險。任何事情都與個人信息的可訪問性有關;你的使用存在風險,尤其是視頻…此外,這裡還存在WiFi網絡其餘部分的風險。”
Dark Cubed的研究發現,幾款使用中國IoT平台的智能攝像頭的數據安全隱患,可以讓網絡中的第三方輕易獲取用戶家裡攝像頭拍攝到的畫面,帶來了隱私隱憂。
IoT平台安全問題已引起美國會議員注意
從模組硬件、軟件到後台的雲服務,塗鴉智能設計的品牌和產品極廣。塗鴉公司的紐約上市招股書顯示,2020年,塗鴉智能擁有26.2萬開發者,客戶超過5000名,主要包括品牌、OEM、行業運營商和系統集成商。 Calex、飛利浦和施耐德電氣等著名品牌都基於塗鴉的物聯網PaaS開發數千個智能設備,這些產品銷售於全球220多個國家和地區。
塗鴉的雲平台可以允許用戶在美國和西方市場流行的亞馬遜網絡服務、微軟Azure等主要雲基礎設施之間切換,並兼容亞馬遜Alexa、谷歌助手和三星SmartThings等主流智能技術。
塗鴉智能核心高管主要來自於阿里巴巴,並得到了騰訊公司的投資支持。塗鴉今年三月在美國紐約證交所上市,當時市值達到118億美元。
美國企業研究所高級研究員科欽對塗鴉在美上市未遇任何阻力感到困惑。但他表示,美國目前擁有應對中國物聯網產品安全問題的政策選項,國會也應拿出立法行動,禁止塗鴉在美擴張。
他對美國之音說:“塗鴉是壓倒性的市場領導者,正在美國迅速站穩腳跟。我們必須解決塗鴉以外的更大問題,但我們不能等待完美的解決方案,同時允許中共深挖美國物聯網基礎設施。”
“其次,我們需要一個更加連貫和推進的戰略來應對中國利用名義上的‘私人’公司作為政府延伸的更廣泛威脅。”
美國之音記者向塗鴉智能發出尋求評論的請求,塗鴉智能在電郵回復中表示將提供詳盡的聲明,但截至記者截稿前,都未收到塗鴉智能的聲明。該公司目前也還沒有公開回應網絡安全報告和研究人員對其技術產品的安全質疑。
美國政府2020年通過《物聯網網絡安全改進法》(Internet of Things Cybersecurity Improvement Act of 2020),要求聯邦機構不得購買不符合安全要求的物聯網設備,但對消費者物聯網市場的管理還沒有跟進。
美國拜登總統延續了前總統特朗普2019年簽署的涉及保障美國信息及通訊技術和服務供應鏈的13873號行政命令(E.O. 13873)。這一行政命令賦予美國商務部長權力,審查和拒絕“由外國對手所有、控制、服從或按照其指示”設計、開發、製造或供應的任何信息通訊技術產品的任何收購、進口、轉讓、安裝、交易或使用。
《國會山報》的分析指出,美國可以基於這一行政命令給塗鴉下達禁令,並呼籲國會立法,禁止塗鴉在美運作。
科欽和一些網絡安全從業者透露,目前已經有聯邦政府部門和國會議員開始關心中國物聯網技術公司對美國形成的安全威脅問題。
“你不能買一個有碎玻璃的玩具,你不能買過期的藥,很多包含石棉的東西都買不到了,因為(國會)認為這些是安全問題。”Dark Cubed網絡安全公司CEO克里斯勒說:“這些(智能)設備是不是也會被視為安全問題,因此要有一定的標準?我認為這絕對應該是國會立法的一個起點。”
