智能手機(jī)成智能家居入侵突破口?騰訊安全移動(dòng)安全實(shí)驗(yàn)室披露最新研究

關(guān)于智能家居漏洞的安全研究有了新進(jìn)展。11月16日，“天府杯”2018國(guó)際網(wǎng)絡(luò)安全大賽暨2018天府國(guó)際網(wǎng)絡(luò)安全高峰論壇在成都開幕，除了激烈的國(guó)際破解大賽，多場(chǎng)備受關(guān)注的重磅行業(yè)論壇也同期舉行。在智能設(shè)備漏洞成為網(wǎng)絡(luò)安全領(lǐng)域重要話題的背景下，來自電子科大網(wǎng)絡(luò)安全研究院、騰訊安全等企業(yè)的技術(shù)專家齊聚漏洞挖掘分論壇，就相關(guān)議題展開深入交流。

騰訊安全移動(dòng)安全實(shí)驗(yàn)室的安全研究員秦書鍇受邀出席漏洞挖掘分論壇，并作了《智能家居新型攻擊面研究》的主題分享。秦書鍇表示，智能家居安全面臨結(jié)構(gòu)更復(fù)雜、涉及環(huán)節(jié)更多的痛點(diǎn)，亟需構(gòu)建一套涵蓋APP安全、協(xié)議保護(hù)和固件安全的系統(tǒng)化全流程保護(hù)方案。

　　(圖：騰訊安全移動(dòng)安全實(shí)驗(yàn)室的安全研究員秦書鍇)

智能手機(jī)成攻擊“入口”或?qū)е轮悄芗揖影卜廊嫱呓?/strong>

智能家居產(chǎn)品的安全性一直是開發(fā)人員面臨的最大挑戰(zhàn)之一。長(zhǎng)期以來，不法黑客顯示出了對(duì)物聯(lián)網(wǎng)領(lǐng)域極高的興趣，智能家居類消費(fèi)產(chǎn)品的安全問題頻發(fā)，幾乎每隔不到一個(gè)星期，就可以看到各種新聞報(bào)道說，某個(gè)知名公司或大型機(jī)構(gòu)遇到了又一個(gè)安全漏洞。

據(jù)秦書鍇介紹，智能家居的安全威脅模型與傳統(tǒng)安全威脅模型不同，不僅結(jié)構(gòu)更加復(fù)雜，保護(hù)的重點(diǎn)也不盡相同。“智能家居更側(cè)重于保護(hù)操作系統(tǒng)安全，側(cè)重防御RCE和云端安全。”秦書鍇表示，由于傳統(tǒng)的安全模型只保護(hù)單個(gè)環(huán)節(jié)，默認(rèn)局域網(wǎng)的安全，實(shí)際給不法分子制造了可乘之機(jī)。

秦書鍇特別強(qiáng)調(diào)，智能手機(jī)自如地穿梭在各個(gè)局域網(wǎng)當(dāng)中，設(shè)備數(shù)量極多，一旦用戶安全意識(shí)不強(qiáng)，隨意進(jìn)行例如掃描未知二維碼、連接風(fēng)險(xiǎn)WiFi等操作，極易成為攜帶病毒的“病原體”。為了幫助觀眾理解最新智能家居攻擊模型，秦書鍇現(xiàn)場(chǎng)剖析了騰訊安全移動(dòng)安全實(shí)驗(yàn)室在2018GeekPwn國(guó)際安全破解大賽上簡(jiǎn)單三步破解“黑客屋”的案例：極客首先通過發(fā)送釣魚短信控制了智能手機(jī)，潛入局域網(wǎng)后迅速鎖定智能電視、路由器等家庭網(wǎng)絡(luò)中樞作為“橋頭堡”，最后進(jìn)行跳板攻擊其他的智能家居設(shè)備，實(shí)現(xiàn)控制臺(tái)燈、掃地機(jī)器人、攝像頭等一系列設(shè)備。

助力保障IoT設(shè)備安全騰訊安全移動(dòng)安全實(shí)驗(yàn)室打造全流程解決方案

面對(duì)頻繁暴露的智能家居漏洞安全隱患，騰訊安全移動(dòng)安全實(shí)驗(yàn)室通過對(duì)大量設(shè)備進(jìn)行安全攻防與研究，挖掘出了上百個(gè)IoT設(shè)備的高危漏洞，涉及幾十種設(shè)備類型，并研發(fā)出一套獨(dú)有的IoT設(shè)備全流程保護(hù)方案，全面覆蓋知識(shí)產(chǎn)權(quán)保護(hù)、惡意破解防護(hù)、漏洞防御等IoT風(fēng)險(xiǎn)。

具體來說，通過在移動(dòng)平臺(tái)攻擊經(jīng)驗(yàn)的積累和對(duì)設(shè)備安全的深入研究，騰訊安全移動(dòng)安全研究實(shí)驗(yàn)室針對(duì)設(shè)備APP，基于Android和IOS平臺(tái)開發(fā)語言的VMP保護(hù)方案能大幅提高攻擊者逆向分析APP進(jìn)行漏洞挖掘的成本和精力;在協(xié)議保護(hù)方面，對(duì)數(shù)據(jù)進(jìn)行加密等安全處理行為能夠保證數(shù)據(jù)內(nèi)容不被竊取或篡改，保證數(shù)據(jù)傳輸層的協(xié)議及內(nèi)容安全;在固件方面，IoT安全編譯器通過對(duì)Native代碼的深度保護(hù)，提供攻擊者固件漏洞挖掘的成本。騰訊安全移動(dòng)安全實(shí)驗(yàn)室搭建起穩(wěn)定、安全、簡(jiǎn)單、易集成的全流程安全保護(hù)方案，并為客戶提供穩(wěn)定、高效、持續(xù)性的安全技術(shù)支持服務(wù)。

“新的攻擊面不僅會(huì)一直存在，還將產(chǎn)生新的漏洞并讓不嚴(yán)重的漏洞嚴(yán)重起來”， 秦書鍇表示，騰訊安全移動(dòng)安全實(shí)驗(yàn)室已經(jīng)擁有了一套整體的方案，一方面可以幫助排查市面上如智能門鎖等智能家居產(chǎn)品安全風(fēng)險(xiǎn)，幫助行業(yè)修復(fù)漏洞，如果廠商有需要，移動(dòng)安全實(shí)驗(yàn)室可以提供方案;另一方面未來希望能夠制定智能家居產(chǎn)品安全方面的標(biāo)準(zhǔn)，騰訊安全移動(dòng)安全實(shí)驗(yàn)室將持續(xù)開放自身的安全能力，助力行業(yè)伙伴實(shí)現(xiàn)智能設(shè)備安全升級(jí)。

生成海報(bào)

• 蜜度索驥：以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
• 新能源車技術(shù)升級(jí)搶先看，ChatGPT崩了引熱議：未來科技如何破局？
• 自動(dòng)駕駛行業(yè)大洗牌即將結(jié)束，小馬智行引領(lǐng)千臺(tái)車隊(duì)新篇章
• 微軟反壟斷風(fēng)暴：Office捆綁銷售引質(zhì)疑，云服務(wù)策略遭調(diào)查，巨頭陷困境
• 顯卡漲價(jià)風(fēng)暴來襲！NVIDIA/AMD緊急應(yīng)對(duì)，全力加速生產(chǎn)運(yùn)回本土
• 微軟新目標(biāo)：用1000億美元打造實(shí)用通用AI，未來可期但需謹(jǐn)慎
• 亞馬遜云科技陳曉建預(yù)測(cè)：未來三年內(nèi)，生成式AI將引發(fā)云市場(chǎng)新革命
• 林肯中國(guó)辟謠：財(cái)務(wù)調(diào)整非合并，業(yè)務(wù)不變穩(wěn)如泰山
• 字節(jié)跳動(dòng)研發(fā)大手筆：2024年投入接近BAT之和，能否引領(lǐng)中國(guó)OpenAI新潮流？
• 跨境匯款平臺(tái)新舉措：螞蟻集團(tuán)開發(fā)者服務(wù)限每日10萬美元，助力全球交易更便捷
• 我國(guó)充電樁建設(shè)提速，50%增長(zhǎng)背后的高速服務(wù)區(qū)充電新篇章

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。