天津在线

首页> 科技频道> 互联网> 正文

矛与盾的博弈 智能硬件没有“绝对安全”

作者: 吴俊宇

今年的央视“3·15”晚会上,智能硬件以及智能家居的安全性问题被曝光。这次晚会,一共曝光了6类智能硬件或者与技术相关的产品,包括无人机、智能楼宇、智能家居、安防摄像头、刷卡POS机以及智能汽车等。

一时间,智能硬件和智能家居的安全问题成为了大众关心的焦点。“3·15”晚会所传达的信息并非“拒绝智能硬件”,而是“风险预警”,提醒消费者更多关心硬件产品的安全漏洞,提高自身防范能力。

业内专家表示,风险是必然的,安全只是相对的,但是智能硬件、智能家居乃至未来物联网的发展不可因噎废食,必须在“矛与盾”的博弈中不断前进。

危险正在悄然而至

央视“3·15”晚会上所曝光的智能硬件与智能家居的诸多问题正在向人们警示:安全风险正在悄然而至。

“这个型号的无人机存在安全漏洞,攻击者可以远程接管无人机,机主完全不知道”,央视“3·15”晚会上,播出了国内著名白帽子(白帽子是指专门帮助企业发现漏洞,弥补漏洞的黑客)机构KEEN Team成员、安全专家宋宇昊展示如何控制一台大疆无人机的过程。在视频中,被攻击的无人机无论机主怎样操作,无人机都不听使唤。

3月21日,笔者通过宋宇昊了解到,在GeekPwn黑客大赛的无人机分类中,大疆无人机属于攻破难度最高的项目。此次攻击利用了遥控器与无人机之间的射频通讯协议的漏洞,使无人机忽略真实遥控器的射频信号,而接收处理攻击者发出的射频信号。

笔者就此事与大疆方面取得了联系。据了解,大疆在央视“3·15”晚会节目播出之后就迅速发表了声明,按照该声明的说法,“大疆在数月前即通过固件升级的方式将这一潜在安全漏洞予以解决……目前大疆各型号无人机产品的用户,只要确保固件及时升级至最新版本,可以消除这一隐患。”

其实,不仅仅是无人机,人们日常使用的智能手机、智能硬件、智能家居等都存在被攻击的风险。3月18日,以色列软件研究公司NorthBit发布报告称,在Android系统中又发现一处安全漏洞,可导致2.75亿部设备遭到黑客攻击。其实,智能硬件、智能家居的安全漏洞也是如此,都有可能被恶意攻击。而在Pwn0rama亚太手机安全破解挑战赛上,中国安全工程师龚广分别用了10余秒便接连攻破谷歌Nexus 6P、三星Galaxy Note 5、LGG4三款热门手机。

物联网行业专家杨剑勇介绍称,目前可穿戴设备、智能家居、智能汽车等领域,各大科技公司及创新型创业公司都在争相进入,但事实上进入此领域的大部分创业型公司技术水平有限,存在部分厂商不重视安全隐患的现象。

事实上,大量创业公司所谓的智能产品都仅仅只是加上了WiFi模块,这种方式虽然给用户带来了方便,但也造成了极大的风险。黑客可以通过安卓手机上的安全漏洞倒过来控制智能硬件和智能家居产品,造成更大的威胁。

代号为“linso”的白帽子黑客介绍,大多数攻击都是从WiFi网络下手,掌控了局域网,就掌控了网络中所有的连接设备,包括手机、平板、电脑、电视、台灯、电扇、咖啡机甚至智能汽车。2014年的温州有线电视台被黑,去年Black Hat大赛上展示过的远程控制吉普汽车,还有GeekPwn技术大赛上展示的“手环虐狗”“空转洗衣机”其实都是如此。

不存在绝对的安全

正如“3·15”晚会上主持人所说的,“从技术上来讲,这个世界上没有绝对的安全。”宋宇昊也告诉笔者,绝对安全是不存在的,任何产品都无法避免漏洞,只要有漏洞的存在,就有攻击的机会。

白帽子黑客“linso”对“不存在绝对的安全”这一说法表示认同,在他看来,“没有绝对的安全,否则也就没有白帽子的饭碗了”,只能不断地发现漏洞,在各个传输点加密确保设备的高度安全。

笔者从360相关工作人员处证实了这一说法。当笔者问及360的诸多智能设备,如儿童智能手表、家庭摄像头、安全路由器等智能硬件产品会不会存在被黑客攻克的风险时,360公关部门工作人员坦承,目前智能硬件产品上都运行着软件程序,也需要联网进行数据通信,因此可以看作类似智能手机的另外一种终端,当然也会存在被黑客攻击的风险。

未来随着智能设备的普及,一个小漏洞可能就会造成十分严重的后果。也正是如此,就需要智能设备厂商将性能与安全统一协调起来进行生产和设计。事实上,面对诸多安全隐患,不少智能设备生产厂商和安全厂商已经采取了相关技术措施,来防范这一问题。

大疆公关部门负责人马慧表示,大疆已通过飞控系统精准定高和定位悬停、自动返航、敏感区域禁飞等功能,提高飞行的安全性,避免各种形式的安全隐患。而360公关部工作人员王兰敏向笔者介绍,360智能硬件在服务器、数据、接口、传播这四个层面上都采取了相关措施。针对“3·15”晚会谈到的智能摄像头遭攻击被控制的问题,360智能摄像机相关工作人员张浩则解释道,自家产品采用了双向身份认证、数据加密传输以及用户身份认证和视频流传输认证分离的技术手段来保护用户的隐私,能够确保用户安全。

在宋宇昊看来,将数据存储在可靠的云端并对传输进行加密,可以提升信息传输的安全性,减少传输漏洞。但是如果客户端的设计和代码质量不好,会有其他类型的漏洞,攻击者可以用通讯劫持以外的方式进行攻击。

对于用户层面上该如何防范黑客攻击时,白帽子黑客“linso”则认为,智能设备安全的主要责任在于厂商,用户个人能做的相对较少。不过,用户可以在挑选智能设备的时候选择有良好声誉的厂商,为设备配置复杂的密码,定期及时更新设备的固件。这些方式可以有效地提高抵御攻击风险的能力。

矛与盾的曲折博弈

“3·15”晚会的视频中,宋宇昊说,没有安全漏洞,是不可能存在安全隐患的,只要存在安全漏洞,都有可能被攻击,小到智能设备,大到智能楼宇。宋宇昊从技术角度向笔者解释,攻击智能家居类产品是利用他们产品的漏洞来实施的,例如截获不加密的通讯,逆向分析获得代码或固件中的验证密码,伪造身份欺骗不完善的验证机制等等。

这次“3·15”晚会其实也给不少准备在智能家居领域乃至未来的物联网大展拳脚的厂商提了个醒。智能家居和物联网的概念虽然火热,但其实暗藏风险。

“曾听说过诸如用户的摄像头被控制,导致被偷窥等案例。总体而言,目前攻击普通公众的智能硬件和智能家居产品的实际案例比较少。”宋宇昊解释,对于攻击者而言,除了攻击的技术可行之外,还要有利益驱动才会驱使他实施攻击行为。目前智能领域刚刚兴起,攻击方还没形成成熟的利益产业链,没有利益驱使他们实施广泛的攻击。

不过,未来智能家居、物联网时代也有可能会形成一定的利益关系,当黑客具有足够的驱动力进行网络攻击时,造成的破坏可能会更大。除此之外,也不排除有极端分子不为经济利益,只为造成大范围破坏的情况。也正是如此,相关厂商更应该把安全问题放在首位。

IT行业分析人士孙永杰认为,在智能硬件、智能家居、物联网的大潮来临之时,只有此类掌握了芯片、操作系统等核心技术的厂商才能在安全层面上做到最好,华为和阿里做的相对较好,不过整体而言,很多国产厂商在这一领域都较为薄弱。

企业维护产品安全和黑客进行攻击这两者之间是“矛与盾”的关系,也是“道高一尺,魔高一丈”的过程,终端厂商的安全能力也是在这种博弈过程之中不断提高的。孙永杰认为,物联网的大潮即将来临,安全都是相对的,企业不可能因噎废食,因为一些安全问题而放弃物联网、智能家居的发展。实际上,物联网、智能家居在发展的过程中也不可能存在绝对的安全。

版权声明

一、凡注明来源为"天津在线"的所有作品文字、图片、音视频、美术设计和程序等作品,版权均属天津在线或相关权利人专属所有或持有所有。

二、未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。否则以侵权论,依法追究相关法律责任。

三、凡本网注明"来源:XXX(非天津在线)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

四、转载声明:如本网转载作品涉及版权等问题,请在作品于本网发表之日起30日内及时同本网联系,否则视为放弃相关权利。

免责声明:本文仅代表作者个人观点,与天津在线无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们删除:jubao@72177.com

今日天津