中国领先的IT技术网站
|
|

小心你的智能硬件存在巨大漏洞

处在野蛮增长的智能硬件市场,将迎来由公安部第三研究所(简称公安三所)牵头制定的智能家居联网安全标准。

作者:佚名来源:腾讯|2017-12-01 11:42

开发者大赛路演 | 12月16日,技术创新,北京不见不散


智能硬件安全隐患过半

万物互联时代,给人们的生活带来了极大的便利,人脸支付、智能指纹锁、智能汽车等等广泛的市场需求,带来了海量的智能终端,也带来了海量的硬件安全隐患。在9月份的第四届国家网络安全宣传周上,极棒实验室联合上海社会科学院互联网研究中心发布了《智能物联网安全风险报告》,通过统计数据发现,新型智能安全威胁比重从2014年的40%上升至如今的58%。

刚刚过去的2017极棒嘉年华大赛上,毕业于浙江大学计算机系的90后极客tyy利用设备漏洞,仅用了150秒就成功破解了使用人脸识别的门禁系统,她告诉《IT时报》记者,所有智能硬件设备都有可能存在安全问题,人脸识别只是运行在设备上的一个应用,所以也不例外。从技术角度来说,破解并不难。

一款智能硬件通常由算法、基础设施、应用系统三大板块组成,在万物互联时代,这三大板块均面临着严峻的安全风险:首先是算法层面,《IT时报》此前报道过由于指纹芯片厂商算法存在缺陷,导致手机Home键出现裂纹后人人可解;其次是基础设施,也就是针对各种框架、云服务的攻击,脆弱的云端是智能家居被黑之关键,今年3·15晚会曝光的远程启动用户家中智能摄像头进行偷拍便是典型案例;应用系统层面的漏洞最为可怕,企业掌握收集用户大量信息,被泄露撞库后,影响大量用户的财产安全,去年京东就曾被爆出12G的用户信息遭到泄露,并在黑市被公开出售。

更严重的案例是,维基解密今年8月公布的文章显示,美国中央情报局曾通过生物识别设备供应商掌握了印度10多亿人的生物识别数据,包括照片、指纹、虹膜扫描,虽无法预见美国中央情报局收集此信息的用途,但业内人士的共识是,这项数据泄露已经涉及国家战略层面的安全问题。

不安全的智能硬件与生物识别搭载在一起,使风险系数大增,不仅仅是因为这三大层面都容易产生数据泄露,更是因为生物特征信息唯一且不可更改,一旦发生泄露被人利用,作为其身份认证的后果不堪设想。同样是极棒大赛上,黑客利用个人正面脸部图像,简单修图后就能解锁主人手机。上海市信息安全测评认证中心主任蒋力群表示,智能硬件在使用过程中,肯定需要收集和使用一些生物信息,对生物主体进行判别。但是企业只能保留必要的节点信息和统计信息以备日后查询,不能截留保存多余的过程信息和特征信息,以防止未经授权被恶意利用。

《智能物联网安全风险报告》表示,智能设备的安全威胁正经历着攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化等多种趋势,报告认为,与传统的硬件相比,这些新型智能设备的出现为攻击者提供了巨大“机会”。

安全投入成本是项目开发两倍以上

然而,智能产品厂商对安全重视程度远远不够。

极棒大赛举办四年以来,每年有近一半的厂商未曾对极棒的安全预警做出积极回应。而未回应的原因,在智能家居企业移康智能战略发展部总监朱林清看来,除了安全意识不够以外,更多因为成本。

“在单机硬件模具等成本为200万元的情况下,后台系统的研发、安全投入是单机的3-5倍。”朱林清表示,提高产品的安全性,一方面要增加前期研发人力,专注于安全保障,另一方面,单机成本也会提高。“不同的安全级别对芯片和性能都是有高要求的,想要安全性更高,产品的成本也就水涨船高。”他表示,尤其是规模小的智能硬件厂商,很难承担得起这样的成本投入。

贝尔赛克BIOSEC是一家做指纹智能锁具的模组生产商,他们刚刚投入了百万资金用于与阿里的的安全架构合作。“以前,联网的智能锁经常会受到来自云端的攻击,为了安全起见,我们屏蔽了一些远程开门的功能,技术上是通过本地的操作来进行指纹锁的开启,比如说密码或指纹,当然,我们在安全领域关注和投入也已经有很长时间,这方面是需要有相当的专业性和持续性的积累。”贝尔赛克BIOSEC董事长刘君向《IT时报》记者表示,他们是传统的硬件厂商,对网络安全涉及不够深入,所以在产品设计上十分谨慎。

最近,因为阿里巴巴、华为等一些大的IT企业推出了针对物联网的安全服务,因为双方也有一定的合作基础,所以他们才考虑在云端集成更多的功能。

作为指纹门锁的龙头老大,刘君坦承与中小企业相比,贝尔赛克在安全方面投入拥有绝对的优势。除了资金较为充裕,拥有安全技术专业团队外,“随着我们市场份额的增加,百万级的投入分摊到几百万模组的出货量上,单个模组的成本只提高几毛钱,比较低的成本就能获得安全,客户能够接受。”

与贝尔赛克嫁接BAT的安全服务不同,既做硬件又做平台的移康智能,因多款产品支持远程控制,对安全级别要求较高,他们在后台云服务器上的投入已经有上千万元。 “我们平台开放给全球相关合作伙伴,目前已经支持80多个国家用户在线使用,为此我们在北京、上海、香港、新加坡、硅谷等多个城市都布设了服务器。”朱林清告诉记者。

毫无疑问,软件方面在不断进步,算法、模型越来越先进,硬件也在升级。“应用者只有不断提高安全意识才能让这个行业健康发展。”tyy说道。

行业安全标准正在制定中

如何提高用户的隐私安全?《智能物联网安全风险报告》给出了三条建议:厂商从产品设计到生产,应把安全因素放到首位;建立健全设备的持续升级机制;尽快统一安全标准,实现设备间的互相通讯。前两条需要企业进行相关投入,而最后一条则由监管部门进行推动,根据朱林清透露,智能家居联网安全标准已经有眉目了,他们作为行业龙头企业,现在正在配合公安三所参与标准的建立。

朱林清对记者表示,用户对安全的需求正倒逼智能硬件厂商做更多的尝试。“面对客户询问,我们口头强调产品安全总是很无力,客户希望我们拿出相关官方证明。”朱林清说道,他们起初跑到公安三所、国家质量监督检验检疫总局希望开具相关官方证明,对方表示缺乏相关标准,无法开具。后来前去咨询的企业越来越多,而市场上智能硬件产品又良莠不齐,于是,监管部门2016年开始推动相关质量标准的建立。不过,由于标准制定的时间较为细致复杂,“正式出台至少还需要一年的时间。” 朱林清表示。

【编辑推荐】

  1. 企业在网络安全上“裸奔”的5大问题,7招帮你搞定!
  2. 不让任何一家中小企业失望
  3. 云计算2.0时代:企业如何踏上“云化”之路
  4. 国家密码局霍炜:政务云很多数据在“裸奔”,有很大安全隐患
  5. 宗庆后的挣扎和改变,是上一代企业家的缩影
【责任编辑:谢海平 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Linux命令、编辑器与Shell编程

本书是目前所能找到的最实用、最全面的Linux指南和参考手册,也是唯一一本提供以下全部内容的书籍: 更好更实用的示例覆盖了实际工作中需...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 51CTO学院双十二活动