位置:科技资讯 > 业界 > 智能硬件为黑客提供巨大“机会” 标准或明年出台

智能硬件为黑客提供巨大“机会” 标准或明年出台

科技资讯  2017年11月27日 09:53  来源:新浪科技
摘要:妻女失踪,身为法医的丈夫在家里提取到一枚指纹,为了逼警察找出指纹归属者,法医辞职后四处作案,并将指纹留在犯罪现常这是前段时间网剧《无证之罪》的故事设定。虽然相同的事情发生在自己身上的概率极低,但是你指纹被窃取的概率,随着智能硬件的广泛应用大大提高。据国家信息安全漏洞共享平台(CNVD)统计,2016年全球物...

  智能硬件为黑客提供巨大“机会”

  开发得起智能硬件 却建不起“安全墙”

  《IT时报》独家获悉:智能家居联网的标准或明年出台

  ■IT时报记者 戚夜云

  妻女失踪,身为法医的丈夫在家里提取到一枚指纹,为了逼警察找出指纹归属者,法医辞职后四处作案,并将指纹留在犯罪现场。这是前段时间网剧《无证之罪》的故事设定。虽然相同的事情发生在自己身上的概率极低,但是你指纹被窃取的概率,随着智能硬件的广泛应用大大提高。据国家信息安全漏洞共享平台(CNVD)统计,2016 年全球物联网设备共出现 1117 个漏洞。遗憾的是各大硬件生产厂家并未能及时将漏洞修补。

  最近几天,《IT时报》记者独家获悉,处在野蛮增长的智能硬件市场,将迎来由公安部第三研究所(简称公安三所)牵头制定的智能家居联网安全标准。

  智能硬件安全隐患过半

  万物互联时代,给人们的生活带来了极大的便利,人脸支付、智能指纹锁、智能汽车等等广泛的市场需求,带来了海量的智能终端,也带来了海量的硬件安全隐患。在9月份的第四届国家网络安全宣传周上,极棒实验室联合上海社会科学院互联网研究中心发布了《智能物联网安全风险报告》,通过统计数据发现,新型智能安全威胁比重从2014年的40%上升至如今的58%。

  刚刚过去的2017极棒嘉年华大赛上,毕业于浙江大学计算机系的90后极客tyy利用设备漏洞,仅用了150秒就成功破解了使用人脸识别的门禁系统,她告诉《IT时报》记者,所有智能硬件设备都有可能存在安全问题,人脸识别只是运行在设备上的一个应用,所以也不例外。从技术角度来说,破解并不难。

  一款智能硬件通常由算法、基础设施、应用系统三大板块组成,在万物互联时代,这三大板块均面临着严峻的安全风险:首先是算法层面,《IT时报》此前报道过由于指纹芯片厂家算法存在缺陷,导致手机Home键出现裂纹后人人可解;其次是基础设施,也就是针对各种框架、云服务的攻击,脆弱的云端是智能家居被黑之关键,今年3·15晚会曝光的远程启动用户家中智能摄像头进行偷拍便是典型案例;应用系统层面的漏洞最为可怕,企业掌握收集用户大量信息,被泄露撞库后,影响大量用户的财产安全,去年京东就曾被爆出12G的用户信息遭到泄露,并在黑市被公开出售。

  更严重的案例是,维基解密今年8月公布的文章显示,美国中央情报局曾通过生物识别设备供应商掌握了印度10多亿人的生物识别数据,包括照片、指纹、虹膜扫描,虽无法预见美国中央情报局收集此信息的用途,但业内人士的共识是,这项数据泄露已经涉及国家战略层面的安全问题。

  不安全的智能硬件与生物识别搭载在一起,使风险系数大增,不但仅是因为这三大层面都容易产生数据泄露,更是因为生物特征信息唯一且不可更改,一旦发生泄露被人利用,作为其身份认证的后果不堪设想。同样是极棒大赛上,黑客利用个人正面脸部图像,简单修图后就能解锁主人手机。

  《智能物联网安全风险报告》表示,智能设备的安全威胁正经历着攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化等多种趋势,报告认为,与传统的硬件相比,这些新型智能设备的出现为攻击者提供了巨大“机会”。

  安全投入成本是项目开发两倍以上

  然而,智能产品厂家对安全重视程度远远不够。

  极棒大赛举办四年以来,每年有近一半的厂家未曾对极棒的安全预警做出积极回应。而未回应的原因,在智能家居企业移康智能战略发展部总监朱林清看来,除了安全意识不够以外,更多因为成本。

  “在单机硬件模具等成本为200万元的情况下,后台系统的研发、安全投入是单机的3-5倍。”朱林清表示,提高产品的安全系数,一方面要增加前期研发人力,专注于安全保障,另外,单机成本也会提高。“不同的安全级别对芯片和性能都是有高要求的,想要安全系数更高,产品的成本也就水涨船高。”他表示,尤其是规模小的智能硬件厂家,很难承担得起这样的成本投入。

  贝尔塞克(BIOSEC)是一家做指纹智能锁具的模组生产商,上半年,他们刚刚投入了几百万资金,用以与阿里的安全架构合作。“我们智能锁受到云端的网络攻击比较多,所以技术上都是通过本地比对实现主要功能,为了减少安全风险,我们并不像其他智能锁厂家一样提供远程开门的相关功能,”贝尔塞克的董事长刘君向《IT时报》记者表示,他们是传统的硬件厂家,对网络安全涉及不够深入,所以在产品设计上非常谨慎。最近,因为阿里巴巴、华为等一些大的企业推出了针对物联网的安全服务,他们才考虑开始在云端集成更多的功能。

  作为指纹门锁的龙头老大,刘君坦承与中小企业相比,贝尔塞克在安全方面投入拥有绝对的优势。除了资金较为充裕外,“我们市场份额比较大,客户多,几百万元的投入分摊到百万模组的出货量上,单个模组成本只提高几毛钱,客户也能接受。”

  与贝尔塞克嫁接BAT的安全服务不同,既做硬件又做平台的移康智能,因多款产品支持远程控制,对安全级别要求较高,他们在后台云服务器上的投入已经有上千万元。 “我们平台开放给全球相关合作伙伴,目前已经支持80多个国家用户在线使用,为此我们在北京、上海、香港、新加坡、硅谷等多个城市都布设了服务器。”朱林清告诉记者。

  毫无疑问,软件方面在不断进步,算法、模型越来越先进,硬件也在升级。“应用者只有不断提高安全意识才能让这个行业健康发展。”tyy说道。

  行业安全标准正在制定中

  如何提高用户的隐私安全?《智能物联网安全风险报告》给出了三条建议:厂家从产品设计到生产,应把安全因素放到首位;建立健全设备的持续升级机制;尽快统一安全标准,实现设备间的互相通讯。前两条需要企业进行相关投入,而最后一条则由监管部门进行推动,根据朱林清透露,智能家居联网安全标准已经有眉目了,他们作为行业龙头企业,现在正在配合公安三所参与标准的建立。

  朱林清对记者表示,用户对安全的需求正倒逼智能硬件厂家做更多的尝试。“面对客户询问,我们口头强调产品安全总是很无力,客户希望我们拿出相关官方证明。”朱林清说道,他们起初跑到公安三所、国家质量监督检验检疫总局希望开具相关官方证明,对方表示缺乏相关标准,无法开具。后来前去咨询的企业越来越多,而市场上智能硬件产品又良莠不齐,于是,监管部门2016年开始推动相关质量标准的建立。但是,由于标准制定的时间较为细致复杂,“正式出台至少还需要一年的时间。” 朱林清表示。