隨著物聯(lián)網(wǎng)建設(shè)的加快,物聯(lián)網(wǎng)的安全問(wèn)題將成為制約其全面發(fā)展的重要因素。物聯(lián)網(wǎng)一般分為感知層、傳輸層和應(yīng)用層三個(gè)層面,信號(hào)的傳輸和處理跨越了傳感網(wǎng)、互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等多個(gè)通信網(wǎng)絡(luò),感知網(wǎng)絡(luò)的傳輸與信息安全、核心網(wǎng)絡(luò)的傳輸與信息安全等問(wèn)題都是物聯(lián)網(wǎng)發(fā)展過(guò)程中所不容忽視的問(wèn)題。
特斯拉招黑客尋程序漏洞
在近日全球安全圈人士聚焦的Def Con黑客大會(huì)上,特斯拉的參加引發(fā)了熱議。作為唯一一家以官方身份參加的知名企業(yè),特斯拉邀請(qǐng)黑客尋找其汽車軟件中的漏洞,并計(jì)劃招募至多30名黑客作為安全研究員。
特斯拉汽車中擁有無(wú)線互聯(lián)網(wǎng)連接,可以像iPhone那樣進(jìn)行OTA升級(jí)。特斯拉參加Def Con黑客大會(huì)顯示出汽車制造商正日益重視軟件安全。而汽車接入互聯(lián)網(wǎng)的同時(shí),不法分子也發(fā)現(xiàn)了可趁之機(jī)。近期,國(guó)內(nèi)的安全專家對(duì)特斯拉Model S電動(dòng)汽車進(jìn)行研究后發(fā)現(xiàn),后者的應(yīng)用程序流程存在設(shè)計(jì)缺陷。攻擊者利用這個(gè)漏洞,可遠(yuǎn)程控制車輛,實(shí)現(xiàn)開(kāi)鎖、鳴笛、閃燈、開(kāi)啟天窗等操作。
而在上個(gè)月筆者參加的全球首個(gè)智能設(shè)備安全嘉年華GeekPwn新聞發(fā)布會(huì)上,一名極客也在現(xiàn)場(chǎng)向記者演示了如何通過(guò)漏洞遙控特斯拉。只需極客通過(guò)筆記本電腦操作一個(gè)程序,按下按鍵,特斯拉汽車就會(huì)突然“叫”起來(lái)。
谷歌眼鏡暴安全隱患
早在今年年初,美國(guó)科技博客Android Authority就發(fā)表聲明,Android系統(tǒng)中的一個(gè)安全漏洞在谷歌眼鏡上同樣可用,黑客可以利用該漏洞執(zhí)行惡意代碼。
Android Authority稱,研究人員去年下半年發(fā)現(xiàn),使用Android 4.1 API編譯的移動(dòng)應(yīng)用可以利用Java script接口中的一個(gè)漏洞。黑客只需在應(yīng)用中創(chuàng)建一個(gè)WebView對(duì)象,就可以利用add Java script Interface這個(gè)API來(lái)執(zhí)行惡意代碼。
Web View對(duì)象在Android免費(fèi)應(yīng)用中相當(dāng)普遍,可用于載入廣告、使用說(shuō)明、開(kāi)發(fā)者網(wǎng)站等html內(nèi)容。谷歌官方API文檔對(duì)此的說(shuō)明中承認(rèn),對(duì)于使用Android 4.1 SDK編譯的應(yīng)用程序來(lái)說(shuō),黑客通過(guò)該API操縱主程序,以主程序獲取的權(quán)限來(lái)執(zhí)行Java代碼。
醫(yī)療行業(yè)BYOD安全引焦慮
如果說(shuō)谷歌眼鏡和特斯拉汽車存在的程序漏洞令其用戶及開(kāi)發(fā)者們寢食難安的話,那么醫(yī)療行業(yè)的物聯(lián)網(wǎng)安全隱患則足以令醫(yī)療工作者頭痛不已。
在醫(yī)療行業(yè)中,物聯(lián)網(wǎng)與BYOD息息相關(guān),它決定了醫(yī)療機(jī)構(gòu)如何建立其系統(tǒng),如何在網(wǎng)絡(luò)中采用新訪問(wèn)節(jié)點(diǎn)的大型陣列。物聯(lián)網(wǎng)中包含的“物”涉及患者監(jiān)視及診斷設(shè)備,這些設(shè)備都是通過(guò)網(wǎng)絡(luò)啟用,一旦考慮到所傳輸數(shù)據(jù)的敏感性,一個(gè)可怕的想法就會(huì)再次顯現(xiàn)。盡管目前這些無(wú)線醫(yī)療設(shè)備已得以實(shí)現(xiàn),但是目前這些設(shè)備都是通過(guò)藍(lán)牙系統(tǒng)進(jìn)行通信,將數(shù)據(jù)通過(guò)智能手機(jī)或電腦傳輸至末端節(jié)點(diǎn)。然而,一旦這些設(shè)備可以通過(guò)WiFi啟用,緩沖區(qū)將消失,并在網(wǎng)絡(luò)中創(chuàng)建另一個(gè)訪問(wèn)節(jié)點(diǎn)。
這兩種趨勢(shì)都給醫(yī)療機(jī)構(gòu)帶來(lái)了特殊的安全性和互聯(lián)性挑戰(zhàn)。目前開(kāi)發(fā)人員仍然在研究如何將這些數(shù)據(jù)與各種在用的電子醫(yī)療記錄(EMRs)進(jìn)行合并,這部分不是問(wèn)題的關(guān)鍵,數(shù)據(jù)的安全性才是最為困難的問(wèn)題。不僅需要確保未授權(quán)人員無(wú)法通過(guò)任何移動(dòng)設(shè)備訪問(wèn)網(wǎng)絡(luò),而且需要確保傳輸數(shù)據(jù)的安全性。這一問(wèn)題可能再次引發(fā)所有安全管理人員的擔(dān)心。
麥肯錫全球研究院高級(jí)研究員Michael Chui認(rèn)為,當(dāng)我們開(kāi)始將現(xiàn)實(shí)世界與虛擬世界進(jìn)行融合時(shí)(+本站微信networkworldweixin),安全的確是一個(gè)最大的挑戰(zhàn)。如果人類想有效地使用物聯(lián)網(wǎng),那么必須改變你的決策方式。
更多智能設(shè)備成攻擊對(duì)象
除智能汽車、醫(yī)療行業(yè)以及谷歌眼鏡外,更多的智能設(shè)備正在成為黑客的攻擊對(duì)象。智能手機(jī)、智能腕表、智能家居、智能汽車、智能機(jī)器人,隨著智能設(shè)備不斷升級(jí),人類似乎就要住進(jìn)科幻世界里了,科幻世界里描述的智能設(shè)備漏洞和黑客攻擊也成了現(xiàn)實(shí)的一幕。
一名極客曾向筆者介紹稱,眼下智能家居、智能穿戴、智能交通、智能娛樂(lè)、智能終端等五大智能生活都存在安全問(wèn)題。“不要以為只有電腦、手機(jī)才是黑客的攻擊對(duì)象,智能馬桶也會(huì)是攻擊目標(biāo)。”他指著現(xiàn)場(chǎng)的一個(gè)智能馬桶說(shuō),極客可以輕而易舉地讓這個(gè)馬桶瞬間變成音樂(lè)噴泉。
此前,已經(jīng)有黑客對(duì)智能家居“下手”了。計(jì)算機(jī)安全研究公司Proofpoint在去年底發(fā)現(xiàn)了一種新型的僵尸網(wǎng)絡(luò),這種網(wǎng)絡(luò)可以感染聯(lián)網(wǎng)的家電設(shè)備,并借機(jī)發(fā)送了數(shù)十萬(wàn)封惡意電子郵件,這是首例被證實(shí)的基于智能家居的網(wǎng)絡(luò)攻擊行為。
如何保護(hù)你的設(shè)備
分析機(jī)構(gòu)IDC預(yù)測(cè),到2020年將有2000億臺(tái)智能設(shè)備,連接至互聯(lián)網(wǎng),而現(xiàn)在約有50億臺(tái)設(shè)備。其中包括約10億臺(tái)電腦、20億個(gè)手機(jī)或平板電腦以及20億個(gè)如溫度監(jiān)控、網(wǎng)絡(luò)攝像機(jī)等設(shè)備。
另外,移動(dòng)分析公司Flurry的報(bào)告顯示,中國(guó)已經(jīng)超過(guò)美國(guó)成為全球最大的智能設(shè)備市場(chǎng)。保護(hù)這些設(shè)備將是一個(gè)挑戰(zhàn)。因?yàn)樵S多設(shè)備只具備極為有限的處理能力,不能夠運(yùn)行常規(guī)的反惡意軟件解決方案。所以,安全性依賴于用戶更改密碼和更改默認(rèn)設(shè)置,并確保該設(shè)備不是開(kāi)放,一般做法是建議人們保護(hù)家庭無(wú)線網(wǎng)絡(luò)。
即便危險(xiǎn)重重,攻擊者成功利用這類漏洞實(shí)施攻擊的概率仍然相對(duì)較低,而且值得慶幸的是,目前這些漏洞都在可控范圍內(nèi)。
京公網(wǎng)安備 11010502049343號(hào)