中国信通院：2019互联网设备-智能音箱安全白皮书(38页).pdf

1、互联网设备互联网设备 智能音箱安全白皮书智能音箱安全白皮书 （2012019 9 年）年） 中国泰尔实验室中国泰尔实验室 电信终端产业协会电信终端产业协会 2012019 9年年1 12 2月月 版版权权声声明明 本白皮书版权属于中国信息通信研究院中国泰尔实验本白皮书版权属于中国信息通信研究院中国泰尔实验 室，并受法律保护。转载、摘编或利用其它方式使用本白室，并受法律保护。转载、摘编或利用其它方式使用本白 皮书文字或者观点的皮书文字或者观点的，应注明应注明“来源来源：中国泰尔实验室中国泰尔实验室”。 违反上述声明者，本实验室将追究其相关法律责任。违反上述声明者，本实验室将追究其相关法律责任。

2、前前言言 当前，世界正处于新一轮科技革命和产业革命的变革浪潮中， 以智能终端为代表的互联网产业已成为“互联网+”的基础设施，是 推动经济社会变革的重要力量。近年来，智能音箱发展迅猛，出货 数量出现井喷式增长。智能音箱作为具有智能语音交互系统、互联 网服务内容，同时可扩展更多设备和内容接入的互联网终端产品， 可为家庭消费者提供随时享受互联网时代的便利。随着产业的蓬勃 发展，智能音箱产业未来会进一步走向信息化、智能化。 但与此同时，频繁曝光的智能家居设备入侵、用户隐私数据窃 取等事件表明智能音箱生态安全存在一定的安全风险。为研究该风 险具体情况和应对措施，中国泰尔实验室通过对主流智能音箱设备 抽样

3、检测和分析，制定了2019 年互联网设备-智能音箱安全白皮 书。本白皮书着眼于智能音箱产业新的发展阶段，阐述了智能音 箱当前的安全态势和安全风险，基于业界最佳实践，在智能音箱产 品网络安全防护和用户个人信息保护等方面提出建议。希望为智能 音箱生态各参与方提供参考， 并通过各方通力合作， 加强行业自律， 强化产业协作体系，为用户提供更安全放心的智能音箱服务。 目目录录 一、智能音箱产业安全现状.1 二、2019 智能音箱安全评测报告.6 （一）智能音箱安全行业标准.7 （二）硬件安全评测.8 （三）操作系统安全评测.10 （四）应用安全评测.12 （五）无线通信安全评测.13 （六）用户个人信息

4、安全评测.15 三、2019 智能音箱十大安全风险.18 （一）个人信息收集处理规则模糊，存在过度收集和使用风险.18 （二）个人信息明文传输，存在数据泄露风险.19 （三）个人信息不安全存储，存在未授权访问风险.19 （四）设备硬件调试接口暴露，存在固件及敏感信息提取风险.20 （五）设备系统更新不及时，存在高危漏洞利用风险. 20 （六）设备系统更新机制不安全，存在更新包篡改或替换风险.20 （七）设备系统防护不足，存在恶意应用静默安装风险. 21 （八）身份认证机制缺陷，存在会话劫持风险.21 （九）移动应用安全防护不足，存在恶意代码植入风险. 21 （十）设备漏洞引发跳板攻击，影响互联

5、设备安全.21 四、智能音箱用户个人信息保护的分析和建议.22 （一）规范用户个人信息收集使用规则.22 （二）落实用户信息收集使用告知同意原则.24 （三）重点加强音频等用户个人敏感信息全生命周期安全防护.25 （四）明确预置应用用户个人信息收集使用规则及责任归属.27 （五）加强预置应用权限调用可知可控力度.28 五、智能音箱网络安全防护的分析和建议.28 （一）设备出厂前关闭（非必要）调试接口且去掉敏感信息.28 （二）采用最新的操作系统及外部代码库.29 （三）对设备系统及应用进行安全加固.29 （四）采用安全存储技术保障敏感信息安全.29 （五）完善身份认证机制保障通信过程安全.30

6、 六、智能音箱产业安全防护行动倡议.31 （一）加强音箱行业自律，明确企业主体责任.31 （二）推进标准规范制定，促进行业健康发展.31 （三）依托社会公众监督，加强安全监管力度.32 （四）鼓励各方合作共享，协作提高安全水平.32 互联网设备-智能音箱安全白皮书（2019 年）中国信息通信研究院 1 一、一、智能音箱产业安全现状智能音箱产业安全现状 （一）（一）智能音箱设备安全现状智能音箱设备安全现状 智能音箱设备快速应用发展的同时，其信息安全问题也日益突 显，并逐渐成为制约智能音箱设备发展的关键问题之一。智能音箱 设备的广泛应用为人们的生活带来了诸多便利，然而，庞大的终端 数量、复杂的传输