据国家信息安全漏洞共享平台(CNVD)公布的数据显示,2016年收到1117个物联网设备漏洞,而到2017年达到2440个,增长了118.4%。网络摄像头、路由器、手机设备占领漏洞数量前三甲。所有IoT终端中,80%的设备存在隐私泄露或滥用的风险,80%的设备使用弱密码、70%的设备的网络通讯没有加密、60%设备的web界面存在漏洞、60%设备的软件更新未做加密。
物联网技术飞速发展,随之而来的安全问题同比激增,换言之,物联网的发展因为安全问题到达了一定的瓶颈期,从以上数据不难看出,半数以上的IoT设备都存在一定程度的安全隐患,这一点手机智能用户恐怕深有体会:从早上闹钟响起那一刻起,自己一天的活动数据已经被智能手机开始记录,之后,打车、叫外卖等等通过手机进行的行为数据均被记录下来,你的兴趣、生活习惯,行踪等等通过简单的数据分析形成一副生动的用户画像,一旦被黑客攻击,毫无隐私可言。
去年12月,为了防止视频直播被人恶意利用,360主动、永久地关闭了在风口浪尖上的水滴直播平台。2016、2017连续两年特斯拉汽车被中国安全研究员攻破,可实现远程解锁,行驶间控制等攻击,相比视频直播平台“被黑”,汽车驾驶“被黑”的后果严重的多,尤其发展到无人驾驶,行驶被控制,岂不是有“谋杀”的风险。
事实上潜藏在身边的致命威胁还有很多。
2017年8月,沙特阿拉伯一家炼油厂遭遇网络攻击。攻击者对Triconex安全控制器下手,意图引发爆炸级别的重大破坏。这些控制器在全球1.8万家各类工厂中运转,核电站、净水厂、炼油厂和化工厂都有使用。而就在本次网络攻击前9个月前,乌克兰电力公司因被黑客入侵导致西部地区大规模停电,直接影响了三个不同配电服务区域的最多 22.5万名客户,持续了数小时。
顶象技术安全总监邱寅峰表示:“物联网安全与传统个人的信息安全的第一大区别在于物联网终端更为广泛,具有群体性攻击的风险。其次,物联网安全漏洞更为严重的后果是可能导致致命风险。造成这类原因主要是安全标准滞后、厂商缺乏安全意识、自研安全方案成本高、攻击成本低、传统安全问题多,攻击日益复杂多样等。物联网设备基数大、24小时全天候在线,面临的危险更多,极易发生大规模攻击性事件。”
为了防止致命风险的发生,首先要了解物联网的组成。顶象技术移动安全负责人梁家辉表示,物联网都有三部分组成:云端服务器、IoT设备、手机App。
其中,云端服务器主要一旦通讯协议遭破解、机器批量爬取数据、被上传伪造数据,就可能造成业务系统被恶意利用、隐私信息泄露和数据被窃取等;而IoT设备和手机App的代码被破解、漏洞被利用、通信被监听或劫持,就会造成密钥丢失、敏感数据遭盗取、设备被恶意控制、核心业务与知识产权泄露等。
为了有效抵御漏洞,顶象在云端服务器、IoT设备、手机App均做了安全防护。
首先,在IoT设备和手机App上部署顶象虚机源码保护。它能够将源码编译生成虚拟加密指令,且每台设备均不相同。运行时使用顶象独创的虚拟CPU直接运行加密的指令,从而杜绝黑客逆向工具无法逆向破解。
其次,在IoT设备和手机App上部署顶象安全SDK。通过加密数据与设备绑定,实现数据链路保护,保证数据传输的真实、保密、不可篡改,让外界无法破解算法逻辑。
第三,在云端服务器上部署顶象智能风控服务。它能够及时有效识别设备上报的非正常数据和App发起的非正常控制指令,并有效拒绝攻击者对服务器端数据的爬取等。
当安全问题不仅仅是隐私安全问题,而是上升到人身安全的程度时,物联网安全问题必须得到重视。目前,物联网设备的焦点在于:权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷、权限获龋按漏洞数量排名这十大问题,每一环节出问题都可能引发致命风险。
