导读:万物互联时代,给人们的生活带来了极大的便利,也带来了海量的硬件安全隐患。
妻女失踪,身为法医的丈夫在家里提取到一枚指纹,为了逼警察找出指纹归属者,法医辞职后四处作案,并将指纹留在犯罪现场。这是前段时间网剧《无证之罪》的故事设定。虽然相同的事情发生在自己身上的概率极低,但是你指纹被窃取的概率,随着智能硬件的广泛应用大大提高。据国家信息安全漏洞共享平台(CNVD)统计,2016 年全球物联网设备共出现 1117 个漏洞。遗憾的是各大硬件生产厂商并未能及时将漏洞修补。
近日,《IT时报》记者独家获悉,处在野蛮增长的智能硬件市场,将迎来由公安部第三研究所(简称公安三所)牵头制定的智能家居联网安全标准。
智能硬件安全隐患过半
万物互联时代,给人们的生活带来了极大的便利,人脸支付、智能指纹锁、智能汽车等等广泛的市场需求,带来了海量的智能终端,也带来了海量的硬件安全隐患。在9月份的第四届国家网络安全宣传周上,极棒实验室联合上海社会科学院互联网研究中心发布了《智能物联网安全风险报告》,通过统计数据发现,新型智能安全威胁比重从2014年的40%上升至如今的58%。
刚刚过去的2017极棒嘉年华大赛上,毕业于浙江大学计算机系的90后极客tyy利用设备漏洞,仅用了150秒就成功破解了使用人脸识别的门禁系统,她告诉《IT时报》记者,所有智能硬件设备都有可能存在安全问题,人脸识别只是运行在设备上的一个应用,所以也不例外。从技术角度来说,破解并不难。
一款智能硬件通常由算法、基础设施、应用系统三大板块组成,在万物互联时代,这三大板块均面临着严峻的安全风险:首先是算法层面,《IT时报》此前报道过由于指纹芯片厂商算法存在缺陷,导致手机Home键出现裂纹后人人可解;其次是基础设施,也就是针对各种框架、云服务的攻击,脆弱的云端是智能家居被黑之关键,今年3·15晚会曝光的远程启动用户家中智能摄像头进行偷拍便是典型案例;应用系统层面的漏洞最为可怕,企业掌握收集用户大量信息,被泄露撞库后,影响大量用户的财产安全,去年京东就曾被爆出12G的用户信息遭到泄露,并在黑市被公开出售。
更严重的案例是,维基解密今年8月公布的文章显示,美国中央情报局曾通过生物识别设备供应商掌握了印度10多亿人的生物识别数据,包括照片、指纹、虹膜扫描,虽无法预见美国中央情报局收集此信息的用途,但业内人士的共识是,这项数据泄露已经涉及国家战略层面的安全问题。
不安全的智能硬件与生物识别搭载在一起,使风险系数大增,不仅仅是因为这三大层面都容易产生数据泄露,更是因为生物特征信息唯一且不可更改,一旦发生泄露被人利用,作为其身份认证的后果不堪设想。同样是极棒大赛上,黑客利用个人正面脸部图像,简单修图后就能解锁主人手机。上海市信息安全测评认证中心主任蒋力群表示,智能硬件在使用过程中,肯定需要收集和使用一些生物信息,对生物主体进行判别。但是企业只能保留必要的节点信息和统计信息以备日后查询,不能截留保存多余的过程信息和特征信息,以防止未经授权被恶意利用。
《智能物联网安全风险报告》表示,智能设备的安全威胁正经历着攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化等多种趋势,报告认为,与传统的硬件相比,这些新型智能设备的出现为攻击者提供了巨大“机会”。
安全投入成本是项目开发两倍以上
然而,智能产品厂商对安全重视程度远远不够。
极棒大赛举办四年以来,每年有近一半的厂商未曾对极棒的安全预警做出积极回应。而未回应的原因,在智能家居企业移康智能战略发展部总监朱林清看来,除了安全意识不够以外,更多因为成本。
“在单机硬件模具等成本为200万元的情况下,后台系统的研发、安全投入是单机的3-5倍。”朱林清表示,提高产品的安全性,一方面要增加前期研发人力,专注于安全保障,另一方面,单机成本也会提高。“不同的安全级别对芯片和性能都是有高要求的,想要安全性更高,产品的成本也就水涨船高。”他表示,尤其是规模小的智能硬件厂商,很难承担得起这样的成本投入。
贝尔赛克BIOSEC是一家做指纹智能锁具的模组生产商,他们刚刚投入了百万资金用于与阿里的的安全架构合作。“以前,联网的智能锁经常会受到来自云端的攻击,为了安全起见,我们屏蔽了一些远程开门的功能,技术上是通过本地的操作来进行指纹锁的开启,比如说密码或指纹,当然,我们在安全领域关注和投入也已经有很长时间,这方面是需要有相当的专业性和持续性的积累。”贝尔赛克BIOSEC董事长刘君向《IT时报》记者表示,他们是传统的硬件厂商,对网络安全涉及不够深入,所以在产品设计上十分谨慎。最近,因为阿里巴巴、华为等一些大的IT企业推出了针对物联网的安全服务,因为双方也有一定的合作基础,所以他们才考虑在云端集成更多的功能。
作为指纹门锁的龙头老大,刘君坦承与中小企业相比,贝尔赛克在安全方面投入拥有绝对的优势。除了资金较为充裕,拥有安全技术专业团队外,“随着我们市场份额的增加,百万级的投入分摊到几百万模组的出货量上,单个模组的成本只提高几毛钱,比较低的成本就能获得安全,客户能够接受。”
与贝尔赛克嫁接BAT的安全服务不同,既做硬件又做平台的移康智能,因多款产品支持远程控制,对安全级别要求较高,他们在后台云服务器上的投入已经有上千万元。 “我们平台开放给全球相关合作伙伴,目前已经支持80多个国家用户在线使用,为此我们在北京、上海、香港、新加坡、硅谷等多个城市都布设了服务器。”朱林清告诉记者。
毫无疑问,软件方面在不断进步,算法、模型越来越先进,硬件也在升级。“应用者只有不断提高安全意识才能让这个行业健康发展。”tyy说道。
行业安全标准正在制定中
如何提高用户的隐私安全?《智能物联网安全风险报告》给出了三条建议:厂商从产品设计到生产,应把安全因素放到首位;建立健全设备的持续升级机制;尽快统一安全标准,实现设备间的互相通讯。前两条需要企业进行相关投入,而最后一条则由监管部门进行推动,根据朱林清透露,智能家居联网安全标准已经有眉目了,他们作为行业龙头企业,现在正在配合公安三所参与标准的建立。
朱林清对记者表示,用户对安全的需求正倒逼智能硬件厂商做更多的尝试。“面对客户询问,我们口头强调产品安全总是很无力,客户希望我们拿出相关官方证明。”朱林清说道,他们起初跑到公安三所、国家质量监督检验检疫总局希望开具相关官方证明,对方表示缺乏相关标准,无法开具。后来前去咨询的企业越来越多,而市场上智能硬件产品又良莠不齐,于是,监管部门2016年开始推动相关质量标准的建立。不过,由于标准制定的时间较为细致复杂,“正式出台至少还需要一年的时间。” 朱林清表示。