當(dāng)前,在物聯(lián)網(wǎng)時(shí)代下,物聯(lián)網(wǎng)建設(shè)步伐越來越快,與此同時(shí),安全問題將成為制約其全面發(fā)展的重要因素。物聯(lián)網(wǎng)一般分為感知層、傳輸層和應(yīng)用層三個(gè)層面,信號的傳輸和處理跨越了傳感網(wǎng)、互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等多個(gè)通信網(wǎng)絡(luò),感知網(wǎng)絡(luò)的傳輸與信息安全、核心網(wǎng)絡(luò)的傳輸與信息安全等問題都是物聯(lián)網(wǎng)發(fā)展過程中所不容忽視的問題。
特斯拉招黑客尋程序漏洞
在近日全球安全圈人士聚焦的Def Con黑客大會上,特斯拉的參加引發(fā)了熱議。作為唯一一家以官方身份參加的知名企業(yè),特斯拉邀請黑客尋找其汽車軟件中的漏洞,并計(jì)劃招募至多30名黑客作為安全研究員。
特斯拉汽車中擁有無線互聯(lián)網(wǎng)連接,可以像iPhone那樣進(jìn)行OTA升級。特斯拉參加Def Con黑客大會顯示出汽車制造商正日益重視軟件安全。而汽車接入互聯(lián)網(wǎng)的同時(shí),不法分子也發(fā)現(xiàn)了可趁之機(jī)。近期,國內(nèi)的安全專家對特斯拉Model S電動汽車進(jìn)行研究后發(fā)現(xiàn),后者的應(yīng)用程序流程存在設(shè)計(jì)缺陷。攻擊者利用這個(gè)漏洞,可遠(yuǎn)程控制車輛,實(shí)現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作。
而在上個(gè)月筆者參加的全球首個(gè)智能設(shè)備安全嘉年華GeekPwn新聞發(fā)布會上,一名極客也在現(xiàn)場向記者演示了如何通過漏洞遙控特斯拉。只需極客通過筆記本電腦操作一個(gè)程序,按下按鍵,特斯拉汽車就會突然“叫”起來。
谷歌眼鏡暴安全隱患
早在今年年初,美國科技博客Android Authority就發(fā)表聲明,Android系統(tǒng)中的一個(gè)安全漏洞在谷歌眼鏡上同樣可用,黑客可以利用該漏洞執(zhí)行惡意代碼。
Android Authority稱,研究人員去年下半年發(fā)現(xiàn),使用Android 4.1 API編譯的移動應(yīng)用可以利用Java script接口中的一個(gè)漏洞。黑客只需在應(yīng)用中創(chuàng)建一個(gè)WebView對象,就可以利用add Java script Interface這個(gè)API來執(zhí)行惡意代碼。
Web View對象在Android免費(fèi)應(yīng)用中相當(dāng)普遍,可用于載入廣告、使用說明、開發(fā)者網(wǎng)站等html內(nèi)容。谷歌官方API文檔對此的說明中承認(rèn),對于使用Android 4.1 SDK編譯的應(yīng)用程序來說,黑客通過該API操縱主程序,以主程序獲取的權(quán)限來執(zhí)行Java代碼。
醫(yī)療行業(yè)BYOD安全引焦慮
如果說谷歌眼鏡和特斯拉汽車存在的程序漏洞令其用戶及開發(fā)者們寢食難安的話,那么醫(yī)療行業(yè)的物聯(lián)網(wǎng)安全隱患則足以令醫(yī)療工作者頭痛不已。
在醫(yī)療行業(yè)中,物聯(lián)網(wǎng)與BYOD息息相關(guān),它決定了醫(yī)療機(jī)構(gòu)如何建立其系統(tǒng),如何在網(wǎng)絡(luò)中采用新訪問節(jié)點(diǎn)的大型陣列。物聯(lián)網(wǎng)中包含的“物”涉及患者監(jiān)視及診斷設(shè)備,這些設(shè)備都是通過網(wǎng)絡(luò)啟用,一旦考慮到所傳輸數(shù)據(jù)的敏感性,一個(gè)可怕的想法就會再次顯現(xiàn)。盡管目前這些無線醫(yī)療設(shè)備已得以實(shí)現(xiàn),但是目前這些設(shè)備都是通過藍(lán)牙系統(tǒng)進(jìn)行通信,將數(shù)據(jù)通過智能手機(jī)或電腦傳輸至末端節(jié)點(diǎn)。然而,一旦這些設(shè)備可以通過WiFi啟用,緩沖區(qū)將消失,并在網(wǎng)絡(luò)中創(chuàng)建另一個(gè)訪問節(jié)點(diǎn)。
這兩種趨勢都給醫(yī)療機(jī)構(gòu)帶來了特殊的安全性和互聯(lián)性挑戰(zhàn)。目前開發(fā)人員仍然在研究如何將這些數(shù)據(jù)與各種在用的電子醫(yī)療記錄(EMRs)進(jìn)行合并,這部分不是問題的關(guān)鍵,數(shù)據(jù)的安全性才是最為困難的問題。不僅需要確保未授權(quán)人員無法通過任何移動設(shè)備訪問網(wǎng)絡(luò),而且需要確保傳輸數(shù)據(jù)的安全性。這一問題可能再次引發(fā)所有安全管理人員的擔(dān)心。
麥肯錫全球研究院高級研究員Michael Chui認(rèn)為,當(dāng)我們開始將現(xiàn)實(shí)世界與虛擬世界進(jìn)行融合時(shí)(+本站微信networkworldweixin),安全的確是一個(gè)最大的挑戰(zhàn)。如果人類想有效地使用物聯(lián)網(wǎng),那么必須改變你的決策方式。
更多智能設(shè)備成攻擊對象
除智能汽車、醫(yī)療行業(yè)以及谷歌眼鏡外,更多的智能設(shè)備正在成為黑客的攻擊對象。智能手機(jī)、智能腕表、智能家居、智能汽車、智能機(jī)器人,隨著智能設(shè)備不斷升級,人類似乎就要住進(jìn)科幻世界里了,科幻世界里描述的智能設(shè)備漏洞和黑客攻擊也成了現(xiàn)實(shí)的一幕。
一名極客曾向筆者介紹稱,眼下智能家居、智能穿戴、智能交通、智能娛樂、智能終端等五大智能生活都存在安全問題。“不要以為只有電腦、手機(jī)才是黑客的攻擊對象,智能馬桶也會是攻擊目標(biāo)。”他指著現(xiàn)場的一個(gè)智能馬桶說,極客可以輕而易舉地讓這個(gè)馬桶瞬間變成音樂噴泉。
此前,已經(jīng)有黑客對智能家居“下手”了。計(jì)算機(jī)安全研究公司Proofpoint在去年底發(fā)現(xiàn)了一種新型的僵尸網(wǎng)絡(luò),這種網(wǎng)絡(luò)可以感染聯(lián)網(wǎng)的家電設(shè)備,并借機(jī)發(fā)送了數(shù)十萬封惡意電子郵件,這是首例被證實(shí)的基于智能家居的網(wǎng)絡(luò)攻擊行為。
D1Net評論:
可以看出,安全漏洞橫行的形勢下,物聯(lián)網(wǎng)危機(jī)重重,然而,既便如此,攻擊者成功利用這類漏洞實(shí)施攻擊的概率仍然相對較低,而且值得慶幸的是,目前這些漏洞都在可控范圍內(nèi),只要可控,就有可能得到有效解決。