IoT安全成行业新课题,百度安全“破题”设备风险

  导读:万物互联时代来临。有数据显示,到2020年,将有500亿台物联网(IoT)设备在全球部署。据全球研究机构Software.org最新报告显示,IoT将带来巨大的经济收益,到2025年,全球经济影响将达到11.1万亿美元。

百亿台终端设备从离线的物理世界走向线上,在这个过程中,大众可以享受到更为智能便捷的数字生活,另一方面,网络黑产也拥有了更多窃取用户隐私的途径与手段。黑客可以利用漏洞劫持智能终端设备,智能门锁、网络摄像头、智能电视、温控器无一不能幸免。


  不得不说,IoT安全问题已经成为万物互联征途中的“阿喀琉斯之踵”。


  以智能电视为例。随着视频信息时代的到来,能够收看不同节目并能连接网络的电视设备成为了大众新的需求点。各大品牌的智能电视及盒子为了提升自身的市场竞争力,在产品外观、画质清晰度、功能多样性、视频内容数量及性价比等方面都不断追求突破和创新,但在强调新功能新卖点时却很少人关注设备的安全问题。尤其,在进入智能时代后,电视栏目就开始不断的更新和观众的互动形式,用户习惯也从单方面的收看转变为多维度的互动,譬如在观看综艺节目时扫码参加活动,甚至直接通过第三方软件付费来为喜欢的明星加油。细思极恐,这时候,如果智能电视的系统缺乏安全性,就极有可能直接影响用户的支付安全,导致个人账户以及隐私信息的泄漏。

物理设备越智能,黑客下手越方便?


  不久前,维基解密就曾公开 “七号保险库”的一大批机密文档,文档披露了很多监控工具,其中包括一款由中情局(CIA)和英国军情五处(MI5)开发的工具:该工具试图将三星智能电视变成远程窃听和监控设备,用以监视社会大众的一举一动!。这预示着每个家庭的智能电视背后,都可能有一双“眼睛”在目不转睛的看着你,如此一来,你家的智能电视还只是“电视”吗?在黑客眼里,它们和监视器毫无区别。你在看电视的时候,电视也在看着你!


  随着智能硬件的不断升级,黑客早已将目标转移到家庭智能设备上,智能电视或盒子作为家庭联网设备的一环,一旦发生安全问题不仅会影响自身设备造成损失,甚至还会成为突破口殃及家庭中其他联网设备,威胁用户的隐私信息与财产安全。


  据了解,智能电视及盒子如果存在非法提权及远程攻击漏洞,则很容易被流量劫持,其结果造成电视画面被随意插播广告或恶意视频,甚至劫持支付二维码导致用户蒙受经济损失等严重后果。更可怕的是,如果存在服务拒绝风险,并且漏洞被加以利用则可能直接导致系统或服务不可用。


  物联网走进人们生活,智能设备却问题重重


  智能电视赋能如此多的领域,其在催生新的产品和用户价值的同时,更伴随着“网络安全”的不成熟。


  近期,百度安全发布《智能电视及盒子系统安全检测报告》,报告中数据显示,在智能电视这个火爆行业背后,正面临着安全漏洞较多、极易被黑客控制的窘境。



  报告中,百度安全通过自主研发的智能设备安全检测工具——百度锐眼,针对市面上主流的11款互联网电视设备进行漏洞检测(其中共计6款电视盒子,6款智能电视,覆盖传统厂商、互联网厂商)。结果显示,截至目前,有24个漏洞被发现存在于智能电视或盒子中,中危和高危漏洞各占一半。所有设备都存在高危漏洞,同时存在10个以上漏洞的设备高达75%,单个设备存在漏洞数量最少的也有4个。


  智能电视漏洞百出,行业安全问题亟待解决


  具体来看,单个设备最高漏洞数为17个,最低为13个,高危漏洞与低危漏洞的比例是10:9。各品牌智能电视的漏洞分布较为集中,不少漏洞风险是共性问题,非法提权漏洞情况尤为严重,在6款智能电视中一共发现49个非法提权漏洞,单个设备存在6个以上。



  与此同时,电视盒子方面的漏洞比智能电视少,但品牌间差异较大,单个设备最高漏洞总数为16,最低漏洞总数为4,高危漏洞跟中危漏洞比例是9:10。安全情况依然不容乐观,非法提权成为所有参与检测的电视盒子中数量最多的风险类型。



  单从数值的角度来看,事情似乎并没有那么糟糕,但是从另一个角度来看,智能电视设备存在以上安全缺陷却未受到过足够的关注,也没有得到及时的安全响应,这足够令人担忧,并且埋下了后患。


  目前市面上的智能电视或盒子系统,几乎都是基于Android系统研发的,由于Android系统的开放性及碎片化,这类智能设备难免漏洞百出,加上黑客的手段层出不穷,可以预见基于Android系统的智能设备将面临越来越多的安全问题,因此及时发现问题并建立更新机制是非常必要的。


  百度安全推出物联网生态安全新方案,人工智能为IoT带来新契机


  长期以来,百度安全持续关注物联网生态及其安全问题,近期推出了国内首个致力于提升智能终端安全的开放解决方案——百度锐眼,不仅可以预知智能设备安全风险,还可以帮助更多厂商及开发者提高自主研发设备的安全性,自2017年7月5日在百度AI开发者大会上首度亮相以来,受到开发者及厂商的广泛关注。


  面对AI时代下重重的IoT安全隐患,如果要想对物联网设备安全性进行评估,需要先了解它所涉及的各种“组件”,以确定哪部分“组件”可能发生什么样的安全问题。


  百度锐眼就可以为智能设备提供专业安全解决方案的漏洞检测服务,其具备以下特点:第一、面向IoT设备的同时,兼容各类基于Android系统的智能设备,是国内首款针对智能设备系统安全的检测工具。第二、漏洞覆盖全面。百度锐眼覆盖常见系统高危漏洞检测,能发现非法本地提权、远程代码执行、服务攻击以及用户敏感信息窃取等漏洞的存在情况。第三、 检测操作简易。锐眼通过数据线连接智能设备和电脑即可进行检测,检测结果在电脑端展示,无屏设备也可轻松查看并下载检测结果报告。


  如今,对智能设备进行安全检测的需求相当迫切,通过对智能设备进行高危漏洞检测,可以帮助开发者和用户了解设备的潜在风险,并获取对漏洞修复的解决方案,真正做到防范于未然。



  据百度锐眼透露,锐眼将快速迭代,可检测漏洞范围将逐步扩大,未来将兼容各类智能设备。未来产品还将计划提供漏洞扫描安全工具链和更专业的渗透测试、应急响应等安全服务。


  网络智慧化时代,百度安全竭力保障用户安全


  随着互联网、云计算、大数据的发展,物联网越来越受到更多行业的关注,越来越来越多的智能设备也普及到了用户的身上。万物互联,人与人,物与物,人与物各自紧密相连,带来便捷的同时也埋下了不可忽视的安全隐患。安全问题甚至已进入“牵一发而动全身”的被动窘境。


  “以往,安全厂商在智能终端系统中是相对缺位的,导致设备厂商和安全厂商都处在艰难的状态,给用户信息安全造成了极大隐患。另一方面,智能终端生态碎片化导致安全成本居高不下,需要产业链各个环节协力解决。” 百度锐眼安全检测平台负责人聂科峰表示,智能设备与我们的生活密切相关,因此产品的安全性比传统安全更为重要,我们希望能够把百度安全积累多年的云管端安全能力应用到智能设备中,帮助厂商发现并了解安全问题。针对发现的安全问题,我们提供了完整的安全解决方案,协助厂商提升产品安全性。期待跟智能行业一起打造安全的智能生态。


  魔高一尺,道高一丈,只有及时发现安全漏洞并修复才是防御黑客攻击的最佳手段,百度安全将始终致力于维护网络安全,给用户最安全的操作环境。网络安全任重道远,百度安全只愿未来更美好。


精彩推荐