公司CEO克里斯勒說:「當我們查看這些應用程序時,它們做得不好,設計得不是很安全,資訊洩露的可能性很大。塗鴉擁有從(智能)燈泡硬體到軟體,再到你手機上的應用程序的整個鏈條,對其進行控制。塗鴉是如何使用這些數據的,外界一無所知。」
Pepper IoT公司的首席運營官(COO)特里・卡爾頓(Terry Carlton)說,物聯網系統做得不安全,風險是多方面的。
「你的個人信息面臨風險。任何事情都與個人信息的可訪問性有關;你的使用存在風險,尤其是影片……此外,這裡還存在WiFi網路其餘部分的風險。」
Dark Cubed的研究發現,幾款使用中國IoT平台的智能攝影機的數據安全隱患,可以讓網路中的第三方輕易獲取用戶家裡攝影機拍攝到的畫面,帶來了隱私保護方面的問題。
IoT平台安全問題已引起美國會議員注意
從模組硬體、軟體到後台的雲端服務,塗鴉智能設計的品牌和產品極廣。塗鴉公司的紐約上市招股書顯示,2020年,塗鴉智能擁有26.2萬開發者,客戶超過5000名,主要包括品牌、OEM、行業運營商和系統集成商。Calex、飛利浦和施耐德電氣等著名品牌都基於塗鴉的物聯網PaaS開發數千種智能設備,這些產品銷售於全球220多個國家和地區。
塗鴉的雲端平台可以允許用戶在美國和西方市場流行的亞馬遜網路服務、微軟Azure等主要雲端基礎設施之間切換,並兼容亞馬遜Alexa、谷歌助手和三星SmartThings等主流智能技術。
塗鴉智能核心高管主要來自於阿里巴巴,並得到了騰訊公司的投資支持。塗鴉今年三月在美國紐約證交所上市時,市值達到118億美元。
美國企業研究所高級研究員科欽對塗鴉在美上市未遇任何阻力感到困惑。但他表示,美國目前擁有應對中國物聯網產品安全問題的政策選項,國會也應拿出立法行動,禁止塗鴉在美擴張。
他對美國之音說:「塗鴉是壓倒性的市場領導者,正在美國迅速站穩腳跟。我們必須解決塗鴉以外的更大問題,但我們不能等待完美的解決方案,同時允許中共深挖美國物聯網基礎設施。」
「其次,我們需要一個更加連貫和推進的戰略來應對中國利用名義上的『私人』公司作為政府延伸的更廣泛威脅。」
美國之音記者向塗鴉智能發出尋求評論的請求,負責塗鴉公司公關事務的ICR策略傳播和諮詢公司在電郵回復中表示將提供詳盡的聲明,但截至記者截稿前,都未收到相關回應。該公司目前也還沒有公開回應網路安全報告和研究人員對其技術產品的安全質疑。
美國政府2020年通過《物聯網網路安全改進法》(Internet of Things Cybersecurity Improvement Act of 2020),要求聯邦機構不得購買不符合安全要求的物聯網設備,但對消費者物聯網市場的管理還沒有跟進。
美國拜登總統延續了前總統川普2019年簽署的涉及保障美國信息及通訊技術和服務供應鏈的13873號行政命令(EO 13873)。這一行政命令賦予美國商務部長權力,審查和拒絕「由外國對手所有、控制、服從或按照其指示」設計、開發、製造或供應的任何信息通訊技術產品的任何收購、進口、轉讓、安裝、交易或使用。
《國會山莊報》的分析指出,美國可以基於這一行政命令給塗鴉下達禁令。兩名作者呼籲國會立法,禁止塗鴉在美運作。
科欽和一些網路安全從業者透露,目前已經有聯邦政府部門和國會議員開始關心中國物聯網技術公司對美國形成的安全威脅問題。
「你不能買一個有碎玻璃的玩具,你不能買過期的藥,很多包含石棉的東西都買不到了,因為(國會)認為這些是安全問題。」Dark Cubed網路安全公司CEO克里斯勒說:「(智能)設備是不是也會被視為安全問題,因此要有一定的標準?我認為這絕對應該是國會立法的一個起點。」
