随着物联网建设的加快,物联网的安全问题将成为制约其全面发展的重要因素。物联网一般分为感知层、传输层和应用层三个层面,信号的传输和处理跨越了传感网、互联网、移动互联网等多个通信网络,感知网络的传输与信息安全、核心网络的传输与信息安全等问题都是物联网发展过程中所不容忽视的问题。
特斯拉招黑客寻程序漏洞
在近日全球安全圈人士聚焦的Def Con黑客大会上,特斯拉的参加引发了热议。作为唯一一家以官方身份参加的知名企业,特斯拉邀请黑客寻找其汽车软件中的漏洞,并计划招募至多30名黑客作为安全研究员。
特斯拉汽车中拥有无线互联网连接,可以像iPhone那样进行OTA升级。特斯拉参加Def Con黑客大会显示出汽车制造商正日益重视软件安全。而汽车接入互联网的同时,不法分子也发现了可趁之机。近期,国内的安全专家对特斯拉Model S电动汽车进行研究后发现,后者的应用程序流程存在设计缺陷。攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。
而在上个月笔者参加的全球首个智能设备安全嘉年华GeekPwn新闻发布会上,一名极客也在现场向记者演示了如何通过漏洞遥控特斯拉。只需极客通过笔记本电脑操作一个程序,按下按键,特斯拉汽车就会突然“叫”起来。
谷歌眼镜暴安全隐患
早在今年年初,美国科技博客Android Authority就发表声明,Android系统中的一个安全漏洞在谷歌眼镜上同样可用,黑客可以利用该漏洞执行恶意代码。
Android Authority称,研究人员去年下半年发现,使用Android 4.1 API编译的移动应用可以利用Java script接口中的一个漏洞。黑客只需在应用中创建一个WebView对象,就可以利用add Java script Interface这个API来执行恶意代码。
Web View对象在Android免费应用中相当普遍,可用于载入广告、使用说明、开发者网站等html内容。谷歌官方API文档对此的说明中承认,对于使用Android 4.1 SDK编译的应用程序来说,黑客通过该API操纵主程序,以主程序获取的权限来执行Java代码。
医疗行业BYOD[注]安全引焦虑
如果说谷歌眼镜和特斯拉汽车存在的程序漏洞令其用户及开发者们寝食难安的话,那么医疗行业的物联网安全隐患则足以令医疗工作者头痛不已。
在医疗行业中,物联网与BYOD息息相关,它决定了医疗机构如何建立其系统,如何在网络中采用新访问节点的大型阵列。物联网中包含的“物”涉及患者监视及诊断设备,这些设备都是通过网络启用,一旦考虑到所传输数据的敏感性,一个可怕的想法就会再次显现。尽管目前这些无线医疗设备已得以实现,但是目前这些设备都是通过蓝牙系统进行通信,将数据通过智能手机或电脑传输至末端节点。然而,一旦这些设备可以通过WiFi启用,缓冲区将消失,并在网络中创建另一个访问节点。
这两种趋势都给医疗机构带来了特殊的安全性和互联性挑战。目前开发人员仍然在研究如何将这些数据与各种在用的电子医疗记录(EMRs)进行合并,这部分不是问题的关键,数据的安全性才是最为困难的问题。不仅需要确保未授权人员无法通过任何移动设备访问网络,而且需要确保传输数据的安全性。这一问题可能再次引发所有安全管理人员的担心。
麦肯锡全球研究院高级研究员Michael Chui认为,当我们开始将现实世界与虚拟世界进行融合时(+本站微信networkworldweixin),安全的确是一个最大的挑战。如果人类想有效地使用物联网,那么必须改变你的决策方式。
更多智能设备成攻击对象
除智能汽车、医疗行业以及谷歌眼镜外,更多的智能设备正在成为黑客的攻击对象。智能手机、智能腕表、智能家居、智能汽车、智能机器人,随着智能设备不断升级,人类似乎就要住进科幻世界里了,科幻世界里描述的智能设备漏洞和黑客攻击也成了现实的一幕。
一名极客曾向笔者介绍称,眼下智能家居、智能穿戴、智能交通、智能娱乐、智能终端等五大智能生活都存在安全问题。“不要以为只有电脑、手机才是黑客的攻击对象,智能马桶也会是攻击目标。”他指着现场的一个智能马桶说,极客可以轻而易举地让这个马桶瞬间变成音乐喷泉。
此前,已经有黑客对智能家居“下手”了。计算机安全研究公司Proofpoint在去年底发现了一种新型的僵尸网络,这种网络可以感染联网的家电设备,并借机发送了数十万封恶意电子邮件,这是首例被证实的基于智能家居的网络攻击行为。
如何保护你的设备
分析机构IDC预测,到2020年将有2000亿台智能设备,连接至互联网,而现在约有50亿台设备。其中包括约10亿台电脑、20亿个手机或平板电脑以及20亿个如温度监控、网络摄像机等设备。
另外,移动分析公司Flurry的报告显示,中国已经超过美国成为全球最大的智能设备市场。保护这些设备将是一个挑战。因为许多设备只具备极为有限的处理能力,不能够运行常规的反恶意软件解决方案。所以,安全性依赖于用户更改密码和更改默认设置,并确保该设备不是开放,一般做法是建议人们保护家庭无线网络。
即便危险重重,攻击者成功利用这类漏洞实施攻击的概率仍然相对较低,而且值得庆幸的是,目前这些漏洞都在可控范围内。