智能硬件在黑帽大会上被黑出翔:安全问题亟待解决
扫描二维码
随时随地手机看文章
在这个月刚刚落幕的黑帽大会和世界黑客大会上,各路黑客大显身手,以往只能在谍战片和科幻片中看到的镜头频频在大家眼前上演,包括汽车在内的各种智能设备都被曝出安全漏洞,黑客利用安全漏洞可以控制智能手机、汽车、交通红绿灯,甚至搭载有智能狙击镜的高级狙击步枪,让人惊叹不已。
其实,对于如今蓬勃发展的智能硬件来说,黑客大会上的案例其实只是冰山一角,更多关于智能设备安全性的议题正在越来越多的专业与非专业场合被提起。在大小厂商积极研发智能设备的同时,背后存在的安全问题也日益凸显,如果不能有效解决这些问题,万物互联时代智能硬件的大规模应用必然会导致问题丛生,并反过来制约智能硬件的发展,从这个意义上来说,如果得不到足够重视,“安全”或成为智能硬件的阿喀琉斯之踵。
近年来,万物互联及相关产业已成全球科技界最具发展潜力的领域,来自市场调研机构Gartner和麦肯锡的预测显示,2015年全球连接到互联网上的设备将达49亿台,2020年或将超过260亿台,万物互联每年将为全球经济带来高达3.9万亿至11.1万亿美元的影响力。的确,看看我们周围,智能手表、智能手环等可穿戴设备正在逐渐进入人们的生活,冰箱、空调等家电也纷纷推出智能版本,还有更多的智能硬件蓄势待发,准备占领我们生产生活的各个角落。这些设备在方便我们生产生活的同时,却也存在着很多安全隐患。事实上,这样的案例在我们身边已经有很多。
小米智能摄像机就曾被曝光存在漏洞问题,攻击者可以在没有用户名、口令等认证方式的条件下,远程控制小米摄像机,让用户家中的隐私一览无余。而在家电方面,联想空气净化器最近也被曝光存在漏洞,该漏洞使用错误的设备密码调用联想X330净化器的特定接口,服务器会返回正确的密码,利用这个正确的设备密码,就可以控制任意在线的X330设备。除此之外,黑客攻击个人手机等掌上智能设备,盗取银行卡账号密码的事件时有发生。另外,对于无人机这种新设备,一旦被滥用,也存在相当大的危险,国外就有人研究出了安装有手枪并可以自动开枪的无人机。此前就有无人机闯入日本首相府和美国白宫以及国内一些机场上空,造成不少安全事件。无人机制造商为了规避这种风险,一般会在无人机固件上设置禁飞区域,如在北京六环内,无人机根本无法起飞,这个限制主要来自无人机上的GPS定位系统。不过现在也有黑客团队通过对GPS系统进行“欺骗”,可使无人机即便身在北京,也能让系统以为在新疆等地,从而绕过飞行限制。
还有,安全公司赛门铁克最近表示,勒索软件能够轻松从手机跨越至可穿戴设备,例如智能手表等。勒索软件目前已经成为当今最主要的恶意软件类型之一,通过锁定用户设备或对文件进行加密,从而对用户进行勒索。为了检验勒索软件在Android移动设备之间的传播,赛门铁克进行了一项测试,研究人员以Moto 360智能手表为测试样本,当将其与Android手机进行配对后,并在手机上安装有内置勒索软件的.apk文件时,智能手表一样会受到勒索软件的感染。当该恶意软件运行后,将导致智能手表无法使用。勒索可穿戴设备现象甚至还产生了一个新的词语:“ransomwear(可穿戴设备勒索软件)。”
目前市场上的智能硬件,在安全性上或多或少都有些问题。造成这些状况的原因有很多,除了现有技术和软硬件系统本身存在的漏洞外,还跟目前人们在智能硬件方面的安全意识相对较低有关。目前国内大多数智能设备厂商都没有专门的安全响应机制,漏洞响应速度慢。许多智能硬件初创厂商资金相对紧张,在安全上下功夫的并不多,即使一些厂商不差钱,出于成本考虑,主动设置较大规模安全部门的企业也很少,很多企业都是出现相关社会问题后,才会投入资金、人力填补漏洞。还有很重要的一点是,在国家质量安全检测方面,对智能硬件这种新生事物在检测标准上还存在着不少空白。对于这样的空白,国内某知名互联网安全中心信息安全部研究人员指出,目前物联网产品开发还是“功能第一”,而忽略安全问题,导致安全设计能力不足。产品厂商应安全开发,从源头保障安全。
的确,面对庞大复杂的万物互联世界,仅靠某些安全公司恐怕很难彻底解决安全问题,需要安全厂商与智能硬件、互联网服务平台等产业链相关厂商紧密合作,开发出更多针对性的安全产品。同时,对于使用者来说,也需要加强公众的安全意识,保护个人隐私安全及人身、财产安全。另外,还有业内人士透露,国家对于智能硬件设备的安全早已开始重视,并已经联合安全厂商进行相关标准的制定,虽然暂时还未出台,但很有可能已经进入尾声,一旦出台,行业安全水准将大幅度提升。