矛與盾的博弈 智能硬件沒有“絕對安全”

責(zé)任編輯:editor004

作者:吳俊宇

2016-03-26 20:16:45

摘自:中國經(jīng)營報(bào)

今年的央視“3·15”晚會(huì)上,智能硬件以及智能家居的安全性問題被曝光。這次晚會(huì),一共曝光了6類智能硬件或者與技術(shù)相關(guān)的產(chǎn)品,包括無人機(jī)、智能樓宇、智能家居、安防攝像頭、刷卡POS機(jī)以及智能汽車等。

今年的央視“3·15”晚會(huì)上,智能硬件以及智能家居的安全性問題被曝光。這次晚會(huì),一共曝光了6類智能硬件或者與技術(shù)相關(guān)的產(chǎn)品,包括無人機(jī)、智能樓宇、智能家居、安防攝像頭、刷卡POS機(jī)以及智能汽車等。

一時(shí)間,智能硬件和智能家居的安全問題成為了大眾關(guān)心的焦點(diǎn)。“3·15”晚會(huì)所傳達(dá)的信息并非“拒絕智能硬件”,而是“風(fēng)險(xiǎn)預(yù)警”,提醒消費(fèi)者更多關(guān)心硬件產(chǎn)品的安全漏洞,提高自身防范能力。

業(yè)內(nèi)專家表示,風(fēng)險(xiǎn)是必然的,安全只是相對的,但是智能硬件、智能家居乃至未來物聯(lián)網(wǎng)的發(fā)展不可因噎廢食,必須在“矛與盾”的博弈中不斷前進(jìn)。

危險(xiǎn)正在悄然而至

央視“3·15”晚會(huì)上所曝光的智能硬件與智能家居的諸多問題正在向人們警示:安全風(fēng)險(xiǎn)正在悄然而至。

“這個(gè)型號(hào)的無人機(jī)存在安全漏洞,攻擊者可以遠(yuǎn)程接管無人機(jī),機(jī)主完全不知道”,央視“3·15”晚會(huì)上,播出了國內(nèi)著名白帽子(白帽子是指專門幫助企業(yè)發(fā)現(xiàn)漏洞,彌補(bǔ)漏洞的黑客)機(jī)構(gòu)KEEN Team成員、安全專家宋宇昊展示如何控制一臺(tái)大疆無人機(jī)的過程。在視頻中,被攻擊的無人機(jī)無論機(jī)主怎樣操作,無人機(jī)都不聽使喚。

3月21日,筆者通過宋宇昊了解到,在GeekPwn黑客大賽的無人機(jī)分類中,大疆無人機(jī)屬于攻破難度最高的項(xiàng)目。此次攻擊利用了遙控器與無人機(jī)之間的射頻通訊協(xié)議的漏洞,使無人機(jī)忽略真實(shí)遙控器的射頻信號(hào),而接收處理攻擊者發(fā)出的射頻信號(hào)。

筆者就此事與大疆方面取得了聯(lián)系。據(jù)了解,大疆在央視“3·15”晚會(huì)節(jié)目播出之后就迅速發(fā)表了聲明,按照該聲明的說法,“大疆在數(shù)月前即通過固件升級的方式將這一潛在安全漏洞予以解決……目前大疆各型號(hào)無人機(jī)產(chǎn)品的用戶,只要確保固件及時(shí)升級至最新版本,可以消除這一隱患。”

其實(shí),不僅僅是無人機(jī),人們?nèi)粘J褂玫闹悄苁謾C(jī)、智能硬件、智能家居等都存在被攻擊的風(fēng)險(xiǎn)。3月18日,以色列軟件研究公司NorthBit發(fā)布報(bào)告稱,在Android系統(tǒng)中又發(fā)現(xiàn)一處安全漏洞,可導(dǎo)致2.75億部設(shè)備遭到黑客攻擊。其實(shí),智能硬件、智能家居的安全漏洞也是如此,都有可能被惡意攻擊。而在Pwn0rama亞太手機(jī)安全破解挑戰(zhàn)賽上,中國安全工程師龔廣分別用了10余秒便接連攻破谷歌Nexus 6P、三星Galaxy Note 5、LG G4三款熱門手機(jī)。

物聯(lián)網(wǎng)行業(yè)專家楊劍勇介紹稱,目前可穿戴設(shè)備、智能家居、智能汽車等領(lǐng)域,各大科技公司及創(chuàng)新型創(chuàng)業(yè)公司都在爭相進(jìn)入,但事實(shí)上進(jìn)入此領(lǐng)域的大部分創(chuàng)業(yè)型公司技術(shù)水平有限,存在部分廠商不重視安全隱患的現(xiàn)象。

事實(shí)上,大量創(chuàng)業(yè)公司所謂的智能產(chǎn)品都僅僅只是加上了WiFi模塊,這種方式雖然給用戶帶來了方便,但也造成了極大的風(fēng)險(xiǎn)。黑客可以通過安卓手機(jī)上的安全漏洞倒過來控制智能硬件和智能家居產(chǎn)品,造成更大的威脅。

代號(hào)為“linso”的白帽子黑客介紹,大多數(shù)攻擊都是從WiFi網(wǎng)絡(luò)下手,掌控了局域網(wǎng),就掌控了網(wǎng)絡(luò)中所有的連接設(shè)備,包括手機(jī)、平板、電腦、電視、臺(tái)燈、電扇、咖啡機(jī)甚至智能汽車。2014年的溫州有線電視臺(tái)被黑,去年Black Hat大賽上展示過的遠(yuǎn)程控制吉普汽車,還有GeekPwn技術(shù)大賽上展示的“手環(huán)虐狗”“空轉(zhuǎn)洗衣機(jī)”其實(shí)都是如此。

不存在絕對的安全

正如“3·15”晚會(huì)上主持人所說的,“從技術(shù)上來講,這個(gè)世界上沒有絕對的安全。”宋宇昊也告訴筆者,絕對安全是不存在的,任何產(chǎn)品都無法避免漏洞,只要有漏洞的存在,就有攻擊的機(jī)會(huì)。

白帽子黑客“linso”對“不存在絕對的安全”這一說法表示認(rèn)同,在他看來,“沒有絕對的安全,否則也就沒有白帽子的飯碗了”,只能不斷地發(fā)現(xiàn)漏洞,在各個(gè)傳輸點(diǎn)加密確保設(shè)備的高度安全。

筆者從360相關(guān)工作人員處證實(shí)了這一說法。當(dāng)筆者問及360的諸多智能設(shè)備,如兒童智能手表、家庭攝像頭、安全路由器等智能硬件產(chǎn)品會(huì)不會(huì)存在被黑客攻克的風(fēng)險(xiǎn)時(shí),360公關(guān)部門工作人員坦承,目前智能硬件產(chǎn)品上都運(yùn)行著軟件程序,也需要聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)通信,因此可以看作類似智能手機(jī)的另外一種終端,當(dāng)然也會(huì)存在被黑客攻擊的風(fēng)險(xiǎn)。

未來隨著智能設(shè)備的普及,一個(gè)小漏洞可能就會(huì)造成十分嚴(yán)重的后果。也正是如此,就需要智能設(shè)備廠商將性能與安全統(tǒng)一協(xié)調(diào)起來進(jìn)行生產(chǎn)和設(shè)計(jì)。事實(shí)上,面對諸多安全隱患,不少智能設(shè)備生產(chǎn)廠商和安全廠商已經(jīng)采取了相關(guān)技術(shù)措施,來防范這一問題。

大疆公關(guān)部門負(fù)責(zé)人馬慧表示,大疆已通過飛控系統(tǒng)精準(zhǔn)定高和定位懸停、自動(dòng)返航、敏感區(qū)域禁飛等功能,提高飛行的安全性,避免各種形式的安全隱患。而360公關(guān)部工作人員王蘭敏向筆者介紹,360智能硬件在服務(wù)器、數(shù)據(jù)、接口、傳播這四個(gè)層面上都采取了相關(guān)措施。針對“3·15”晚會(huì)談到的智能攝像頭遭攻擊被控制的問題,360智能攝像機(jī)相關(guān)工作人員張浩則解釋道,自家產(chǎn)品采用了雙向身份認(rèn)證、數(shù)據(jù)加密傳輸以及用戶身份認(rèn)證和視頻流傳輸認(rèn)證分離的技術(shù)手段來保護(hù)用戶的隱私,能夠確保用戶安全。

在宋宇昊看來,將數(shù)據(jù)存儲(chǔ)在可靠的云端并對傳輸進(jìn)行加密,可以提升信息傳輸?shù)陌踩?,減少傳輸漏洞。但是如果客戶端的設(shè)計(jì)和代碼質(zhì)量不好,會(huì)有其他類型的漏洞,攻擊者可以用通訊劫持以外的方式進(jìn)行攻擊。

對于用戶層面上該如何防范黑客攻擊時(shí),白帽子黑客“linso”則認(rèn)為,智能設(shè)備安全的主要責(zé)任在于廠商,用戶個(gè)人能做的相對較少。不過,用戶可以在挑選智能設(shè)備的時(shí)候選擇有良好聲譽(yù)的廠商,為設(shè)備配置復(fù)雜的密碼,定期及時(shí)更新設(shè)備的固件。這些方式可以有效地提高抵御攻擊風(fēng)險(xiǎn)的能力。

矛與盾的曲折博弈

“3·15”晚會(huì)的視頻中,宋宇昊說,沒有安全漏洞,是不可能存在安全隱患的,只要存在安全漏洞,都有可能被攻擊,小到智能設(shè)備,大到智能樓宇。宋宇昊從技術(shù)角度向筆者解釋,攻擊智能家居類產(chǎn)品是利用他們產(chǎn)品的漏洞來實(shí)施的,例如截獲不加密的通訊,逆向分析獲得代碼或固件中的驗(yàn)證密碼,偽造身份欺騙不完善的驗(yàn)證機(jī)制等等。

這次“3·15”晚會(huì)其實(shí)也給不少準(zhǔn)備在智能家居領(lǐng)域乃至未來的物聯(lián)網(wǎng)大展拳腳的廠商提了個(gè)醒。智能家居和物聯(lián)網(wǎng)的概念雖然火熱,但其實(shí)暗藏風(fēng)險(xiǎn)。

“曾聽說過諸如用戶的攝像頭被控制,導(dǎo)致被偷窺等案例??傮w而言,目前攻擊普通公眾的智能硬件和智能家居產(chǎn)品的實(shí)際案例比較少。”宋宇昊解釋,對于攻擊者而言,除了攻擊的技術(shù)可行之外,還要有利益驅(qū)動(dòng)才會(huì)驅(qū)使他實(shí)施攻擊行為。目前智能領(lǐng)域剛剛興起,攻擊方還沒形成成熟的利益產(chǎn)業(yè)鏈,沒有利益驅(qū)使他們實(shí)施廣泛的攻擊。

不過,未來智能家居、物聯(lián)網(wǎng)時(shí)代也有可能會(huì)形成一定的利益關(guān)系,當(dāng)黑客具有足夠的驅(qū)動(dòng)力進(jìn)行網(wǎng)絡(luò)攻擊時(shí),造成的破壞可能會(huì)更大。除此之外,也不排除有極端分子不為經(jīng)濟(jì)利益,只為造成大范圍破壞的情況。也正是如此,相關(guān)廠商更應(yīng)該把安全問題放在首位。

IT行業(yè)分析人士孫永杰認(rèn)為,在智能硬件、智能家居、物聯(lián)網(wǎng)的大潮來臨之時(shí),只有此類掌握了芯片、操作系統(tǒng)等核心技術(shù)的廠商才能在安全層面上做到最好,華為和阿里做的相對較好,不過整體而言,很多國產(chǎn)廠商在這一領(lǐng)域都較為薄弱。

企業(yè)維護(hù)產(chǎn)品安全和黑客進(jìn)行攻擊這兩者之間是“矛與盾”的關(guān)系,也是“道高一尺,魔高一丈”的過程,終端廠商的安全能力也是在這種博弈過程之中不斷提高的。孫永杰認(rèn)為,物聯(lián)網(wǎng)的大潮即將來臨,安全都是相對的,企業(yè)不可能因噎廢食,因?yàn)橐恍┌踩珕栴}而放棄物聯(lián)網(wǎng)、智能家居的發(fā)展。實(shí)際上,物聯(lián)網(wǎng)、智能家居在發(fā)展的過程中也不可能存在絕對的安全。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)