妻女失蹤,身為法醫(yī)的丈夫在家里提取到一枚指紋,為了逼警察找出指紋歸屬者,法醫(yī)辭職后四處作案,并將指紋留在犯罪現(xiàn)場。這是前段時間網(wǎng)劇《無證之罪》的故事設(shè)定。雖然相同的事情發(fā)生在自己身上的概率極低,但是你指紋被竊取的概率,隨著智能硬件的廣泛應(yīng)用大大提高。據(jù)國家信息安全漏洞共享平臺(CNVD)統(tǒng)計,2016 年全球物聯(lián)網(wǎng)設(shè)備共出現(xiàn) 1117 個漏洞。遺憾的是各大硬件生產(chǎn)廠商并未能及時將漏洞修補。
近日,《IT時報》記者獨家獲悉,處在野蠻增長的智能硬件市場,將迎來由公安部第三研究所(簡稱公安三所)牽頭制定的智能家居聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。
智能硬件安全隱患過半
萬物互聯(lián)時代,給人們的生活帶來了極大的便利,人臉支付、智能指紋鎖、智能汽車等等廣泛的市場需求,帶來了海量的智能終端,也帶來了海量的硬件安全隱患。在9月份的第四屆國家網(wǎng)絡(luò)安全宣傳周上,極棒實驗室聯(lián)合上海社會科學(xué)院互聯(lián)網(wǎng)研究中心發(fā)布了《智能物聯(lián)網(wǎng)安全風(fēng)險報告》,通過統(tǒng)計數(shù)據(jù)發(fā)現(xiàn),新型智能安全威脅比重從2014年的40%上升至如今的58%。
剛剛過去的2017極棒嘉年華大賽上,畢業(yè)于浙江大學(xué)計算機系的90后極客tyy利用設(shè)備漏洞,僅用了150秒就成功破解了使用人臉識別的門禁系統(tǒng),她告訴《IT時報》記者,所有智能硬件設(shè)備都有可能存在安全問題,人臉識別只是運行在設(shè)備上的一個應(yīng)用,所以也不例外。從技術(shù)角度來說,破解并不難。
一款智能硬件通常由算法、基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)三大板塊組成,在萬物互聯(lián)時代,這三大板塊均面臨著嚴(yán)峻的安全風(fēng)險:首先是算法層面,《IT時報》此前報道過由于指紋芯片廠商算法存在缺陷,導(dǎo)致手機Home鍵出現(xiàn)裂紋后人人可解;其次是基礎(chǔ)設(shè)施,也就是針對各種框架、云服務(wù)的攻擊,脆弱的云端是智能家居被黑之關(guān)鍵,今年3·15晚會曝光的遠(yuǎn)程啟動用戶家中智能攝像頭進行偷拍便是典型案例;應(yīng)用系統(tǒng)層面的漏洞最為可怕,企業(yè)掌握收集用戶大量信息,被泄露撞庫后,影響大量用戶的財產(chǎn)安全,去年京東就曾被爆出12G的用戶信息遭到泄露,并在黑市被公開出售。
更嚴(yán)重的案例是,維基解密今年8月公布的文章顯示,美國中央情報局曾通過生物識別設(shè)備供應(yīng)商掌握了印度10多億人的生物識別數(shù)據(jù),包括照片、指紋、虹膜掃描,雖無法預(yù)見美國中央情報局收集此信息的用途,但業(yè)內(nèi)人士的共識是,這項數(shù)據(jù)泄露已經(jīng)涉及國家戰(zhàn)略層面的安全問題。
不安全的智能硬件與生物識別搭載在一起,使風(fēng)險系數(shù)大增,不僅僅是因為這三大層面都容易產(chǎn)生數(shù)據(jù)泄露,更是因為生物特征信息唯一且不可更改,一旦發(fā)生泄露被人利用,作為其身份認(rèn)證的后果不堪設(shè)想。同樣是極棒大賽上,黑客利用個人正面臉部圖像,簡單修圖后就能解鎖主人手機。
《智能物聯(lián)網(wǎng)安全風(fēng)險報告》表示,智能設(shè)備的安全威脅正經(jīng)歷著攻擊對象向新型智能設(shè)備擴展、攻擊主要集中在終端設(shè)備、攻擊手段日趨多樣化等多種趨勢,報告認(rèn)為,與傳統(tǒng)的硬件相比,這些新型智能設(shè)備的出現(xiàn)為攻擊者提供了巨大“機會”。
安全投入成本是項目開發(fā)兩倍以上
然而,智能產(chǎn)品廠商對安全重視程度遠(yuǎn)遠(yuǎn)不夠。
極棒大賽舉辦四年以來,每年有近一半的廠商未曾對極棒的安全預(yù)警做出積極回應(yīng)。而未回應(yīng)的原因,在智能家居企業(yè)移康智能戰(zhàn)略發(fā)展部總監(jiān)朱林清看來,除了安全意識不夠以外,更多因為成本。
“在單機硬件模具等成本為200萬元的情況下,后臺系統(tǒng)的研發(fā)、安全投入是單機的3-5倍。”朱林清表示,提高產(chǎn)品的安全性,一方面要增加前期研發(fā)人力,專注于安全保障,另一方面,單機成本也會提高。“不同的安全級別對芯片和性能都是有高要求的,想要安全性更高,產(chǎn)品的成本也就水漲船高。”他表示,尤其是規(guī)模小的智能硬件廠商,很難承擔(dān)得起這樣的成本投入。
貝爾塞克(BIOSEC)是一家做指紋智能鎖具的模組生產(chǎn)商,上半年,他們剛剛投入了幾百萬資金,用以與阿里的安全架構(gòu)合作。“我們智能鎖受到云端的網(wǎng)絡(luò)攻擊比較多,所以技術(shù)上都是通過本地比對實現(xiàn)主要功能,為了減少安全風(fēng)險,我們并不像其他智能鎖廠商一樣提供遠(yuǎn)程開門的相關(guān)功能,”貝爾塞克的董事長劉君向《IT時報》記者表示,他們是傳統(tǒng)的硬件廠商,對網(wǎng)絡(luò)安全涉及不夠深入,所以在產(chǎn)品設(shè)計上十分謹(jǐn)慎。最近,因為阿里巴巴、華為等一些大的企業(yè)推出了針對物聯(lián)網(wǎng)的安全服務(wù),他們才考慮開始在云端集成更多的功能。
作為指紋門鎖的龍頭老大,劉君坦承與中小企業(yè)相比,貝爾塞克在安全方面投入擁有絕對的優(yōu)勢。除了資金較為充裕外,“我們市場份額比較大,客戶多,幾百萬元的投入分?jǐn)偟桨偃f模組的出貨量上,單個模組成本只提高幾毛錢,客戶也能接受。”
與貝爾塞克嫁接BAT的安全服務(wù)不同,既做硬件又做平臺的移康智能,因多款產(chǎn)品支持遠(yuǎn)程控制,對安全級別要求較高,他們在后臺云服務(wù)器上的投入已經(jīng)有上千萬元。 “我們平臺開放給全球相關(guān)合作伙伴,目前已經(jīng)支持80多個國家用戶在線使用,為此我們在北京、上海、香港、新加坡、硅谷等多個城市都布設(shè)了服務(wù)器。”朱林清告訴記者。
毫無疑問,軟件方面在不斷進步,算法、模型越來越先進,硬件也在升級。“應(yīng)用者只有不斷提高安全意識才能讓這個行業(yè)健康發(fā)展。”tyy說道。
行業(yè)安全標(biāo)準(zhǔn)正在制定中
如何提高用戶的隱私安全?《智能物聯(lián)網(wǎng)安全風(fēng)險報告》給出了三條建議:廠商從產(chǎn)品設(shè)計到生產(chǎn),應(yīng)把安全因素放到首位;建立健全設(shè)備的持續(xù)升級機制;盡快統(tǒng)一安全標(biāo)準(zhǔn),實現(xiàn)設(shè)備間的互相通訊。前兩條需要企業(yè)進行相關(guān)投入,而最后一條則由監(jiān)管部門進行推動,根據(jù)朱林清透露,智能家居聯(lián)網(wǎng)安全標(biāo)準(zhǔn)已經(jīng)有眉目了,他們作為行業(yè)龍頭企業(yè),現(xiàn)在正在配合公安三所參與標(biāo)準(zhǔn)的建立。
朱林清對記者表示,用戶對安全的需求正倒逼智能硬件廠商做更多的嘗試。“面對客戶詢問,我們口頭強調(diào)產(chǎn)品安全總是很無力,客戶希望我們拿出相關(guān)官方證明。”朱林清說道,他們起初跑到公安三所、國家質(zhì)量監(jiān)督檢驗檢疫總局希望開具相關(guān)官方證明,對方表示缺乏相關(guān)標(biāo)準(zhǔn),無法開具。后來前去咨詢的企業(yè)越來越多,而市場上智能硬件產(chǎn)品又良莠不齊,于是,監(jiān)管部門2016年開始推動相關(guān)質(zhì)量標(biāo)準(zhǔn)的建立。不過,由于標(biāo)準(zhǔn)制定的時間較為細(xì)致復(fù)雜,“正式出臺至少還需要一年的時間。” 朱林清表示。