关于侵害用户权益行为的智能终端通报
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,按有关法律法规要求,工信部对智能终端违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现20款智能终端存在侵害用户权益行为(详见附件),现予以通报。
来源:工信微报
本次通报的20款智能终端涉及多个物联网典型应用场景,反映出智能设备在深入用户生活的同时,也带来了不容忽视的安全隐患。主要涵盖以下四类生活场景:
·家庭安防场景:包括智能门锁、网络摄像机等设备,作为家庭物理安全的第一道防线,其数据泄露与权限失控可能直接威胁用户人身与财产安全。
·儿童监护与教育场景:儿童电话手表、智能学习终端等产品直接涉及未成年人位置、人脸等敏感信息,一旦管理失范,将造成严重的隐私侵害风险。
·智能家居控制场景:以智能音箱为代表,作为家庭语音交互中枢,其数据收集与权限管理缺失将波及用户声纹、生活习惯等核心隐私。
·娱乐互动场景:AI对话机器人、智能玩具等设备通过云端实现情感交互,若未建立有效数据治理机制,极易成为个人信息违规收集与传输的重灾区。
这些场景的普及标志着物联网设备已深度融入日常生活,然而终端安全机制的普遍缺失,使得“智能便利”与“隐私风险”并存。本次通报集中暴露出当前行业在个人信息保护方面的系统性问题,主要包括:隐私政策缺失、数据违规传输、权限管控机制缺位、强制自动续费及敏感信息收集未单独告知等。
上述问题不仅违反法律法规,更侵蚀用户信任,阻碍行业健康发展。在监管持续深化、用户隐私意识不断提升的背景下,广大智能设备生产企业应高度重视合规建设,将“隐私设计”理念融入研发全流程,建立健全数据分类分级、权限管控与加密传输机制,切实履行个人信息保护主体责任。
安全赋能:物联网场景化治理与安全实践
梆梆安全基于深厚的物联网安全实践,构建了覆盖应用层、平台层、传输层及感知层的分层防护体系。通过对智能终端、网络接入及业务应用实施分层布防与纵深防御,并融入以PPDR为核心的动态安全模型,实现对物联网从终端到整网的持续性安全保障。
梆梆安全物联网智能终端安全保障体系
梆梆安全固件安全检测平台
自动化检测物联网设备固件安全隐,通过自动化的方式从固件自身信息、敏感信息、配置风险、CVE漏洞等多个检测维度,识别和分析智能终端可能存在的风险漏洞,助力客户高效排查固件安全问题并整改,提升智能终端的安全强度。
物联网终端渗透测试服务
依据安全基线标准,紧密结合客户业务场景与需求,采用“人工+工具”协同的测试模式,全面检测物联网终端设备的安全漏洞与脆弱性,并输出详尽的渗透测试报告与修复建议,助力客户提前发现并处置安全隐患,有效规避业务运营与监管合规风险。
服务对象包括:物联网设备及智能硬件,涵盖芯片、智能卡、汽车电子、智能硬件、智能家居 (智能电视、机顶盒、投影仪等)、无人机、机器人等领域,包括连接安全 (3G/4G/5G/BT/Wi-Fi/Zig:bee/RF/NFC/API) 、硬件安全 (PCB/芯片/存储/固件) 、系统安全 (含单片机/嵌入式Linux/ARM) 等。
智能终端作为物联网生态的关键入口,其数据安全与隐私合规水平是产业发展的基石。梆梆安全致力于持续拓展物联网安全的技术边界,聚焦终端固件安全、数据加密传输与全生命周期隐私合规,以创新的安全解决方案,守护智能终端的每一道安全防线。
Microsoft is enhancing Windows 11’s stability with a new feature that prompts users for a quick memory diagnostic scan following blue screen of death (BSOD) incidents. This proactive tool aims to detect and mitigate memory corruption issues that often lead to unexpected restarts, potentially reducing future system crashes. Announced in recent Windows Insider builds, the […]
The post Windows Unveils Quick Memory Scan Feature for Seamless Recovery After BSOD Crashes appeared first on Cyber Security News.
日前,浙江杭州警方侦破一起利用"AI换脸"技术突破互联网平台人脸识别认证机制的侵犯公民个人信息案件。涉案团伙利用生成式人工智能深度合成技术伪造动态人脸视频,突破多家头部平台登录认证,非法窃取公民个人隐私数据。该案中,犯罪团伙、互联网平台与个人信息买家均需承担相应法律责任,揭示了AI技术滥用带来的安全挑战。
AI换脸乱象丛生,国家监管高度重视
随着生成式人工智能技术快速普及,深度伪造技术迭代速度已超越安全防护升级节奏。不法分子利用AI换脸技术突破人脸识别系统,实施信息窃取、账户盗刷等违法行为,严重威胁公民个人信息安全。
面对这一乱象,国家监管部门密集出台整治措施。《人脸识别技术应用安全管理办法》《人脸信息处理合规操作指南》等政策指南相继出台,中央网信办在2025年“清朗”系列专项行动中,将“整治AI技术滥用”列为八大重点任务之一,重点应对生物认证系统暴露的安全隐患。
攻击手段持续升级,人脸识别面临挑战
梆梆安全基于近期通报案件与长期技术跟踪,对深度伪造人脸攻击手段进行了深入分析。目前,移动端人脸识别技术已广泛应用于金融、政务、商务、社交等行业的注册、登录、认证、支付等关键环节。
当前主流的AI换脸攻击方式主要包括:
·非实时伪造人脸视频:攻击者以受害者照片为素材,通过AI换脸技术生成包含张嘴、眨眼、点头、摇头等动作的伪造视频,利用HOOK技术注入人脸识别环节,绕过认证。
·实时换脸攻击:攻击者采用AI实时换脸工具进行现场拍摄,通过“高清屏翻拍+实时换脸”方式,同步执行活体检测动作,实时绕过动作及炫彩光等活体校验手段。
随着此类攻击手段的普及与工具化,其技术门槛显著降低,直接扩大了针对生物认证系统的攻击面。对于各类部署人脸识别认证能力的业务平台而言,提升深度伪造检测能力、筑牢活体防御基线,是防范AI技术滥用风险的必行之策。
专项解决方案,构筑人脸识别安全防线
针对AI换脸带来的安全风险,梆梆安全基于移动应用全生命周期安全建设体系框架,搭建人脸识别业务安全防护专项解决方案。该方案通过人脸专项场景化风险评估,深度挖掘技术和业务逻辑漏洞,并提供修复建议;通过应用防劫持、防篡改、防注入、通信数据加密等手段,提升人脸数据篡改的攻击门槛;利用安全监测与业务系统联动,有效识别和阻断应用运行过程中的前端技术类攻击行为。
基于对多种攻击手法的深入理解,梆梆安全同时提出四项工作建议:
1. 加强深度伪造人脸识别技术建设,提高检测阈值,提升AI换脸行为检测发现与预警阻断能力;
2. 构建异常行为分析模型,监测发现利用AI换脸技术实施网络攻击等线索,第一时间上报网络安全态势感知平台;
3. 开展安全风险排查,重点核实客户端登录、密码重置等环节身份验证的完备性,对采用单因子验证的支付环节采取额外防护措施;
4. 明确人脸认证审查标准,与第三方平台合作时,应以合同或协议明确人脸认证审查至少应达到的服务质量标准和赔偿责任。
梆梆安全通过人脸识别业务安全防护专项解决方案,已为政务、金融、企业等多领域客户提供全面安全防护支持。通过人脸识别专项检测评估,部署动态监测与阻断机制,客户系统能够主动发现和拦截AI换脸攻击行为,安全防护能力得到显著提升。
未来,梆梆安全将继续优化产品与服务,通过技术创新与实战演练相结合,助力客户构建更智能、更可靠的人脸识别安全防护体系,为数字经济发展提供坚实的安全保障。