今年的央視「3·15」晚會上,智慧型硬體以及智慧型家居的安全性問題被**。這次晚會,一共**了6類智慧型硬體或者與技術相關的產品,包括無人機、智慧型樓宇、智慧型家居、安防攝像頭、刷卡pos機以及智慧型汽車等。
一時間,智慧型硬體和智慧型家居的安全問題成為了大眾關心的焦點。「3·15」晚會所傳達的資訊並非「拒絕智慧型硬體」,而是「風險預警」,提醒消費者更多關心硬體產品的安全漏洞,提高自身防範能力。
業內專家表示,風險是必然的,安全只是相對的,但是智慧型硬體、智慧型家居乃至未來物聯網的發展不可因噎廢食,必須在「矛與盾」的博弈中不斷前進。
危險正在悄然而至
央視「3·15」晚會上所**的智慧型硬體與智慧型家居的諸多問題正在向人們警示:安全風險正在悄然而至。
3月21日,筆者通過宋宇昊了解到,在geekpwn黑客大賽的無人機分類中,大疆無人機屬於攻破難度最高的專案。此次攻擊利用了遙控器與無人機之間的射頻通訊協議的漏洞,使無人機忽略真實遙控器的射頻訊號,而接收處理攻擊者發出的射頻訊號。
筆者就此事與大疆方面取得了聯絡。據了解,大疆在央視「3·15」晚會節目播出之後就迅速發表了宣告,按照該宣告的說法,「大疆在數月前即通過韌體公升級的方式將這一潛在安全漏洞予以解決……目前大疆各型號無人機產品的使用者,只要確保韌體及時公升級至最新版本,可以消除這一隱患。」
其實,不僅僅是無人機,人們日常使用的智慧型手機、智慧型硬體、智慧型家居等都存在被攻擊的風險。3月18日,以色列軟體研究公司northbit發布報告稱,在android系統中又發現一處安全漏洞,可導致2.75億部裝置遭到黑客攻擊。其實,智慧型硬體、智慧型家居的安全漏洞也是如此,都有可能被惡意攻擊。而在pwn0rama亞太手機安全破解挑戰賽上,中國安全工程師龔廣分別用了10餘秒便接連攻破谷歌nexus 6p、三星galaxy note 5、lg g4三款熱門手機。
物聯網行業專家楊劍勇介紹稱,目前可穿戴裝置、智慧型家居、智慧型汽車等領域,各大科技公司及創新型創業公司都在爭相進入,但事實上進入此領域的大部分創業型公司技術水平有限,存在部分廠商不重視安全隱患的現象。
事實上,大量創業公司所謂的智慧型產品都僅僅只是加上了wifi模組,這種方式雖然給使用者帶來了方便,但也造成了極大的風險。黑客可以通過安卓手機上的安全漏洞倒過來控制智慧型硬體和智慧型家居產品,造成更大的威脅。
代號為「linso」的白帽子黑客介紹,大多數攻擊都是從wifi網路下手,掌控了區域網,就掌控了網路中所有的連線裝置,包括手機、平板、電腦、電視、檯燈、電扇、咖啡機甚至智慧型汽車。2023年的溫州有線電視臺被黑,去年black hat大賽上展示過的遠端控制吉普汽車,還有geekpwn技術大賽上展示的「手環虐狗」「空轉洗衣機」其實都是如此。
不存在絕對的安全
正如「3·15」晚會上主持人所說的,「從技術上來講,這個世界上沒有絕對的安全。」宋宇昊也告訴筆者,絕對安全是不存在的,任何產品都無法避免漏洞,只要有漏洞的存在,就有攻擊的機會。
白帽子黑客「linso」對「不存在絕對的安全」這一說法表示認同,在他看來,「沒有絕對的安全,否則也就沒有白帽子的飯碗了」,只能不斷地發現漏洞,在各個傳輸點加密確保裝置的高度安全。
筆者從360相關工作人員處證實了這一說法。當筆者問及360的諸多智慧型裝置,如兒童智慧型手錶、家庭攝像頭、安全路由器等智慧型硬體產品會不會存在被黑客攻克的風險時,360公關部門工作人員坦承,目前智慧型硬體產品上都執行著軟體程式,也需要聯網進行資料通訊,因此可以看作類似智慧型手機的另外一種終端,當然也會存在被黑客攻擊的風險。
未來隨著智慧型裝置的普及,乙個小漏洞可能就會造成十分嚴重的後果。也正是如此,就需要智慧型裝置廠商將效能與安全統一協調起來進行生產和設計。事實上,面對諸多安全隱患,不少智慧型裝置生產廠商和安全廠商已經採取了相關技術措施,來防範這一問題。
在宋宇昊看來,將資料儲存在可靠的雲端並對傳輸進行加密,可以提公升資訊傳輸的安全性,減少傳輸漏洞。但是如果客戶端的設計和**質量不好,會有其他型別的漏洞,攻擊者可以用通訊劫持以外的方式進行攻擊。
對於使用者層面上該如何防範黑客攻擊時,白帽子黑客「linso」則認為,智慧型裝置安全的主要責任在於廠商,使用者個人能做的相對較少。不過,使用者可以在挑選智慧型裝置的時候選擇有良好聲譽的廠商,為裝置配置複雜的密碼,定期及時更新裝置的韌體。這些方式可以有效地提高抵禦攻擊風險的能力。
矛與盾的曲折博弈
這次「3·15」晚會其實也給不少準備在智慧型家居領域乃至未來的物聯網大展拳腳的廠商提了個醒。智慧型家居和物聯網的概念雖然火熱,但其實暗藏風險。
「曾聽說過諸如使用者的攝像頭被控制,導致被**等案例。總體而言,目前攻擊普通公眾的智慧型硬體和智慧型家居產品的實際案例比較少。」宋宇昊解釋,對於攻擊者而言,除了攻擊的技術可行之外,還要有利益驅動才會驅使他實施攻擊行為。目前智慧型領域剛剛興起,攻擊方還沒形成成熟的利益產業鏈,沒有利益驅使他們實施廣泛的攻擊。
不過,未來智慧型家居、物聯網時代也有可能會形成一定的利益關係,當黑客具有足夠的驅動力進行網路攻擊時,造成的破壞可能會更大。除此之外,也不排除有極端分子不為經濟利益,只為造成大範圍破壞的情況。也正是如此,相關廠商更應該把安全問題放在首位。
it行業分析人士孫永傑認為,在智慧型硬體、智慧型家居、物聯網的大潮來臨之時,只有此類掌握了晶元、作業系統等核心技術的廠商才能在安全層面上做到最好,華為和阿里做的相對較好,不過整體而言,很多國產廠商在這一領域都較為薄弱。
企業維護產品安全和黑客進行攻擊這兩者之間是「矛與盾」的關係,也是「道高一尺,魔高一丈」的過程,終端廠商的安全能力也是在這種博弈過程之中不斷提高的。孫永傑認為,物聯網的大潮即將來臨,安全都是相對的,企業不可能因噎廢食,因為一些安全問題而放棄物聯網、智慧型家居的發展。實際上,物聯網、智慧型家居在發展的過程中也不可能存在絕對的安全。
資訊保安「矛與盾之爭」將繼續上演
在資訊保安領域,我們把去年的 進一步深化,在2016年,先進的企業網路安全解決方案將無處不在,並成為企業經營的 必備單品 公開的黑客攻擊行為近年來在不斷出現。在過去的一年間,發生大規模網路攻擊的頻率一直在增長。婚外情 ashley madison就是所謂 黑客主義 的犧牲品。最近,喜達屋集團就表示,...
軟測自動化之矛與盾
相比於之前的全手工測試,現在的測試無疑自動化的多,回首看頗有封建社會過渡到資本主義社會之感。已經 自動化 了好幾個月了,一直想總結總結這種由鳥槍更換成的大炮到底給我們測試帶來多少生產力的提高,它適用什麼場景,它對於測試的最終目的有多少幫助,又會帶來多大的影響?其實說起來聽可笑的,我對於自動化測試起初...
矛與盾 掃瞄器盲打對主動安全防護的啟示
筆者在最近與一家安全掃瞄器廠商的合作中聽到了 盲打 這個概念,當時就很好奇,這是個新的安全攻擊方式嗎?對方的工程師給了筆者解答,他們的掃瞄器可以發起經過特殊配置的攻擊請求,使得含有被攻擊漏洞的伺服器 a 執行請求中配置的命令,回連到提前設定好的一台伺服器 b 上。這樣,通過伺服器b的連線紀錄就可以知...