NO.69 | 2020.07.31
banner
title有備而來 友善列印>>
智慧音箱所衍生的資安問題與對策

<資通安全組/吳勁儫>
  
  伴隨各大電信業者陸陸續續開台5G服務,物聯網相關的周邊設備種類及數量呈現了爆發性的成長,萬物皆連網的物聯網(IoT)情境將無所不在。5G技術除了加速物聯網基礎建設與創新技術的應用導入之外,也面臨更廣泛的安全管理風險與更嚴峻的資訊安全挑戰,而電影裡常見的萬物皆可駭場景,將有可能真實地發生在現實生活中。
  
  物聯網設備中,有一項大家習以為常但其實是扮演智慧家庭中樞重要角色的設備,那就是智慧音箱。智慧音箱是一種具有人工智慧語音助理功能的喇叭音箱,具有連網功能並可以根據人們的語音指令,提供相應的內容與服務,及與人們互動。
 

圖1 智慧音箱適用範圍示意圖
(圖片來源:TTC)
 
  人們在日常生活中可以隨時透過呼叫智慧音箱提供娛樂或是搜索資訊。根據路透新聞研究所(Reuters Institute for the Study of Journalism)的報告[1]發現,播放音樂是英國絕大多數用戶(84%)使用最多的功能。其次則是回答一般性問題,像是提供天氣資訊、設置鬧鐘以及開關智慧家電。使用智慧音箱雖可以帶來更多方便,同時也會產生隱私方面的問題,例如:
  1. 智慧音箱無時無刻都在收音:智慧音箱需要聽到喚醒的詞彙才會觸發後續的動作如語音辨識與分析等,但是也可能誤判啟用詞而導致將錯誤的資料傳輸到雲端,造成個人隱私外洩,而這問題可藉由提升辨識率來降低誤判率。
  2. 語音訓練資料:智慧音箱為了改善上述提到的誤判率,相對應的可能就會將智慧音箱所儲存的語音資料進行人工審查。雖然智慧音箱業者皆宣稱這些人工審查的語音資料為匿名且片段式,但若該訊息具有可辨識身分資料與敏感訊息,則有可能藉由該資料回推連結至使用者身分的疑慮。因此,讓使用者可以自主決定是否要共享自己的語音資料是一大關鍵。不過若使用者決定刪除語音紀錄或關閉儲存資料的功能,則智慧音箱的誤判率可能就會提高,因為其無法學習使用者的說話方式及語調。
  3. 蒐集資料的利用方式以及使用者同意的合法性:雖然目前智慧音箱尚未有用來投放廣告的實際案例發生,但是藉由語音助理進行的網路活動,例如網路搜尋或是撥放音樂等數據資料,可以推測得出使用者的喜好,進而在其他機器設備上投遞廣告給使用者。同時,智慧音箱所收集的資料到底包含什麼?什麼時候收集?提供給什麼人?都是一般使用者會忽略的問題,更是一大資安問題的來源。
  
       智慧音箱帶來生活上的便利,而隨著科技的發展,可以預期智慧音箱將能夠更加精準地查找資料,也能更自然地與人們互動。同時它們也將被設置與使用在更廣泛的環境中,像是利用智慧音箱處理購物、銀行業務或是搜尋健康資訊。然而,智慧音箱和語音助理所蒐集的語音資料,以及如何使用這類語音資料,仍為人們所擔憂。有鑑於此,本中心參考歷年來智慧音箱的相關資安事件以及IoT設備常見的資安問題統整出風險來源分析與資安需求,並透過台灣資通產業標準協會(TAICS)平臺制定出可以有效解決智慧音箱所帶來的相關資安疑慮以及隱私問題的智慧音箱資安標準與智慧音箱資安測試規範,該標準與測試規範也預計於今(109)年年底前正式公告。



 
[1] https://reutersinstitute.politics.ox.ac.uk/our-research/journalism-media-and-technology-trends-and-predictions-2018