中國物聯網(IoT)科技公司塗鴉智能正在美國消費者智能設備市場攻城略地,但該公司產品的安全性最近受到業界人士的質疑。甚至有美國研究人員呼籲,美國政府應該像封鎖華為那樣禁止塗鴉在美國市場運作。
無所不在的塗鴉智能技術
塗鴉智能是一個全球物聯網雲端平台服務商,同時提供硬體和軟體產品。塗鴉智能成立於2014年,現已成為全球市場上最大的IoT物聯網平台服務提供商,今年三月在美國紐約證券交易所上市。
傳統電器企業生產靜態的、互不相連的產品;塗鴉公司通過其智能軟體和在後台遠程運行的雲端服務,讓傳統設備聯網、並與其他智能設備分享信息和功能,讓傳統家用電器和工具「活」了起來。
塗鴉智能今年三月在一份IPO聲明中說,2020年,塗鴉智能為超過1.165億台智能設備提供支持,是全球物聯網PaaS(platform as a service,平台即服務)市場上最大的公司。
美國市場上有許多智能溫度控制器、智能攝影機、智能電燈等設備,雖然不是標明塗鴉品牌,但可能使用了塗鴉的硬體模組、軟體、程式碼,或是使用了塗鴉的IoT雲平台。美國企業研究所(AEI)兩名高級研究員7月30日在《國會山莊報》(The Hill)發表文章,題目是:「塗鴉可能成為比俄羅斯勒索軟體攻擊更嚴重的中國威脅」。
文章分析指出,在過去幾年中,美國和20多個國家禁止或大幅限制中國電信公司華為建設或管理5G通訊網路,原因是擔心華為可能暗中與中國政府分享全球5G網路通訊中的海量數據。作者主張,美國國會應該基於同樣的安全考量禁止塗鴉公司在美國運作、禁止其與美國企業進行往來。
中國的數據安全法規定:公安機關、國家安全機關因維護國家安全或者偵查犯罪的需要調取數據,有關組織、個人應當予以配合。中國的網路安全法和國家安全法在這方面都有類似的規定。
《國會山報》文章作者之一、AEI高級研究員科隆・科欽(Klon Kitchen)通過電子郵件對美國之音說,塗鴉產品的問題不同於普通的網路安全問題,「這關乎的是中國法律要求像塗鴉這樣的公司交出他們所有的數據。」
科欽說,塗鴉的安全威脅不在於是否其在安全上是否有所作為,也不在於這家公司是否存有任何惡意動機,而是在於塗鴉必須遵循中國法律。他說,無論塗鴉智能如何收集、傳輸和保存用戶數據,「仍然必須要(把數據)交給中共,因此這裡有個持續存在的威脅必須解決。」
物聯網業界人士說,一家從事智能設備服務的公司可以給美國國家安全帶來威脅,並非天方夜譚。
美國物聯網軟體開發商Pepper IoT公司首席執行官斯科特・福特(Scott Ford)說,「假設一個外國的(物聯網科技)平台進入了一千萬個甚至更多的美國家庭,這將是一個不斷增長的風險。你可以看到,某個外國實體通過了解美國家庭裡發生的事情,通過這些控制……甚至戰爭風險都可能會發生。」
福特對美國之音說:「他們可以了解用戶是否在家,能夠立即調高所有人的溫控器,給電網帶來問題,能夠隨時獲取視頻。所以由於我們目前沒有監管的環境,這類領域得不到保護。這些事情絕對有可能會發生,已經有證據表明在過去已經發生。」
報告:大部分物聯網設備都與中國有聯繫
美國網路安全公司Dark Cubed今年研究了美國市場上10款價格在20到100美元區間的家庭智能設備(智能攝影機、智能電燈等)的網路安全性能,發現其中大部分產品背後都有塗鴉智能技術的支撐,而這些產品都存在網路安全隱患。
這份今年三月發表的研究報告說:「我們審查的每一台物聯網設備都與中國有業務聯繫,並且觀察到每一款產品都在沒有經過許可的情況下與中國的基礎設施進行了數據通信……」
這項研究發現,大部分設備都與設在中國的服務器存在至少一處網路連接、許多產品無法通過最基本的網路安全檢驗、大多數設備網路中的第三方可以輕易獲取器材拍攝到的私人隱私圖像、大多數產品的安卓手機應用程式「完全不安全,並且向中國傳送數據」。
Dark Cubed公司首席執行官(CEO)文斯・克里斯勒(Vince Crisler)對美國之音說:「沒有人會在乎紐約一台Nest溫控器被駭客攻擊了,對不對?但如果紐約市所有的Nest溫控器都同時開啟同時關閉,造成電網癱瘓呢?」
「沒有人會在乎一個人被(智能設備)竊聽,但如果數十萬、數百萬的智能電燈在竊聽你的所有信息、蒐集那些可以用於未來戰略能力的信息,情況就不一樣了。」克里斯勒說:「問題是,有沒有這種做法的可能,我想答案是肯定的。」
針對物聯網智能設備的駭客襲擊並非紙上談兵。2016年,駭客使用「未來」(Mirai)惡意軟體攻陷了上萬個智能攝影機、DVR攝影機和路由器等物聯網設備,以這些設備作為「殭屍」節點發起大規模分佈式拒絕服務(DDoS)攻擊,導緻美國東岸大面積斷網,多個著名網站無法正常訪問。而被駭的攝影機大部分為中國企業生產。
Dark Cubed的研究報告說,在手機應用程式(app)方面,這些智能產品存在明顯的安全缺陷:幾款使用塗鴉代碼的智能攝影機手機app設置,能讓用戶受到遠程跟踪。
公司CEO克里斯勒說:「當我們查看這些應用程序時,它們做得不好,設計得不是很安全,資訊洩露的可能性很大。塗鴉擁有從(智能)燈泡硬體到軟體,再到你手機上的應用程序的整個鏈條,對其進行控制。塗鴉是如何使用這些數據的,外界一無所知。」
Pepper IoT公司的首席運營官(COO)特里・卡爾頓(Terry Carlton)說,物聯網系統做得不安全,風險是多方面的。
「你的個人信息面臨風險。任何事情都與個人信息的可訪問性有關;你的使用存在風險,尤其是影片……此外,這裡還存在WiFi網路其餘部分的風險。」
Dark Cubed的研究發現,幾款使用中國IoT平台的智能攝影機的數據安全隱患,可以讓網路中的第三方輕易獲取用戶家裡攝影機拍攝到的畫面,帶來了隱私保護方面的問題。
IoT平台安全問題已引起美國會議員注意
從模組硬體、軟體到後台的雲端服務,塗鴉智能設計的品牌和產品極廣。塗鴉公司的紐約上市招股書顯示,2020年,塗鴉智能擁有26.2萬開發者,客戶超過5000名,主要包括品牌、OEM、行業運營商和系統集成商。Calex、飛利浦和施耐德電氣等著名品牌都基於塗鴉的物聯網PaaS開發數千種智能設備,這些產品銷售於全球220多個國家和地區。
塗鴉的雲端平台可以允許用戶在美國和西方市場流行的亞馬遜網路服務、微軟Azure等主要雲端基礎設施之間切換,並兼容亞馬遜Alexa、谷歌助手和三星SmartThings等主流智能技術。
塗鴉智能核心高管主要來自於阿里巴巴,並得到了騰訊公司的投資支持。塗鴉今年三月在美國紐約證交所上市時,市值達到118億美元。
美國企業研究所高級研究員科欽對塗鴉在美上市未遇任何阻力感到困惑。但他表示,美國目前擁有應對中國物聯網產品安全問題的政策選項,國會也應拿出立法行動,禁止塗鴉在美擴張。
他對美國之音說:「塗鴉是壓倒性的市場領導者,正在美國迅速站穩腳跟。我們必須解決塗鴉以外的更大問題,但我們不能等待完美的解決方案,同時允許中共深挖美國物聯網基礎設施。」
「其次,我們需要一個更加連貫和推進的戰略來應對中國利用名義上的『私人』公司作為政府延伸的更廣泛威脅。」
美國之音記者向塗鴉智能發出尋求評論的請求,負責塗鴉公司公關事務的ICR策略傳播和諮詢公司在電郵回復中表示將提供詳盡的聲明,但截至記者截稿前,都未收到相關回應。該公司目前也還沒有公開回應網路安全報告和研究人員對其技術產品的安全質疑。
美國政府2020年通過《物聯網網路安全改進法》(Internet of Things Cybersecurity Improvement Act of 2020),要求聯邦機構不得購買不符合安全要求的物聯網設備,但對消費者物聯網市場的管理還沒有跟進。
美國拜登總統延續了前總統川普2019年簽署的涉及保障美國信息及通訊技術和服務供應鏈的13873號行政命令(EO 13873)。這一行政命令賦予美國商務部長權力,審查和拒絕「由外國對手所有、控制、服從或按照其指示」設計、開發、製造或供應的任何信息通訊技術產品的任何收購、進口、轉讓、安裝、交易或使用。
《國會山莊報》的分析指出,美國可以基於這一行政命令給塗鴉下達禁令。兩名作者呼籲國會立法,禁止塗鴉在美運作。
科欽和一些網路安全從業者透露,目前已經有聯邦政府部門和國會議員開始關心中國物聯網技術公司對美國形成的安全威脅問題。
「你不能買一個有碎玻璃的玩具,你不能買過期的藥,很多包含石棉的東西都買不到了,因為(國會)認為這些是安全問題。」Dark Cubed網路安全公司CEO克里斯勒說:「(智能)設備是不是也會被視為安全問題,因此要有一定的標準?我認為這絕對應該是國會立法的一個起點。」
