新闻动态

央视315:智能硬件的安全漏洞同属质量问题

2016-03-31


昨天央视315晚会上,网络安全与智能生活安全成为重点曝光对象,包括无人机、智能楼宇、智能家居、安防摄像头、POS机以及智能汽车在内的数款智能硬件被展示了不同程度的破解(文末有视频节选),安全漏洞远比想象的可怕。


央视把智能产品的安全上升到“质量问题”的高度,无疑是一种警醒。虽然从技术上来讲,这个世界上没有绝对的安全,但达成相对的安全还是容易的。

云端安全


智能硬件本身没有完善的身份管理体系,为了实现有效管理,通常都会借用云端的身份认证。而云端也是用户数据信息的储存地,巨大的潜在价值使得它成为智能产品最容易遭受黑客攻击的部分。

目前云与设备间的传输有两个显而易见的漏洞:


  • 明文传输,没有加密。

简单来说,我们可以把设备与云之间的通讯传输想象成一个士兵拿着指令在两个堡垒间来回奔跑,彼此只有接收到对方的指令才能做出部署,而明文传输就相当于士兵裸奔。路上没人,裸着搞不好还轻松自在,但你可以想象的到,一但路上有了人,甚至不是要攻城略地的敌人,哪怕只是看客,这个士兵的心里也会产生极大的恐慌。若真遇见敌军,一个没有盔甲、没有武器的士兵,又能做些什么呢。


  • SSL/TLS加密

SSL(SecureSocketLayer,安全套接层)协议是使用最为普遍网站加密技术,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。TLS(安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。


就目前已知的信息来看,这二者可以提供一般的安全防护,但如果没有结合动态会话机制,黑客也可以破解、窃取通过SSL和TLS协议传输的加密数据。


设备控制终端应用安全


目前的智能硬件终端多为移动手机、平板等设备,App远程控制是最常见的形式。智能终端的应用与所有App一样,都面临着安全问题。

事实上无论IOS还是Android,在APP安全漏洞方面都未能幸免。


设备安全


通常我们会认为设备端的智能化只要实现网络连接、达到流畅的控制就大功告成,因而忽略了设备安全问题。智能硬件作为一个典型的嵌入式设备,其基本结构可以简单分为物理层(IC)、操作系统(MiCO)、通讯协议栈 、应用程序四个层次。

硬件物理层的通信安全问题包括芯片破解、窃听、干扰、Dos攻击;软件层面的嵌入式系统也有防止恶意篡改、敏感信息保密的安全需求。目前,智能硬件仅靠着部分芯片自带的加固、加密能力,防御机制还不够,要想真正阻止黑客入侵还需要软件层面的支撑。


目前一些设备厂商和云服务商并不重视安全问题,使产品和系统面临很大风险。


上海庆科是全球第一个推出物联网操作系统的公司,发布至今,MiCO操作系统已经在超过500万的智能设备上稳定运行。MiCO这个OS系统包含15种高级加密通讯安全算法和协议,并提供128位的安全性防护,可以和硬件芯片、云端通信协议结合,提供全方位的安全保护。


庆科一直坚持“智能硬件,安全第一”的理念,致力于做到最好的安全通信。

总结

任何一个问题的改善都需要经历“发现问题-提出问题-分析问题-解决问题”四个阶段,登上央视315对智能硬件圈来说并不是一个坏消息,也许这一条时长仅6分钟的短片正在提醒大家“智能硬件,安全第一”。