7月5日,2017百度AI開發(fā)者大會在國家會議中心舉辦,百度AI生態(tài)的重要戰(zhàn)略、最新技術(shù)、業(yè)務(wù)進(jìn)展和解決方案在大會中首次向5000名開發(fā)者集中展示。在全球首個專注于AI開發(fā)者的盛會上,業(yè)內(nèi)首個智能設(shè)備安全檢測工具同期亮相。
這款產(chǎn)品由百度安全與DuerOS(百度對話式人工智能操作系統(tǒng))團(tuán)隊聯(lián)合開發(fā),面向廣大智能設(shè)備開發(fā)者。它將發(fā)揮百度在安全領(lǐng)域多年積累的能力,降低智能設(shè)備AI化的開發(fā)門檻,提高設(shè)備安全性。
初級安全攻防博弈:規(guī)?;瘬屨季W(wǎng)絡(luò)環(huán)境下漏洞破解入口
AI正在改變機(jī)器與人的交互方式,影響力日益擴(kuò)大,整個行業(yè)亦面臨著安全的挑戰(zhàn)。
2017年央視3·15晚會上,官方曾曝光人臉識別漏洞,主持人僅憑一張觀眾手機(jī)里的自拍照,經(jīng)過簡單技術(shù)處理,成功攻破人臉驗證。伴隨金融機(jī)構(gòu)遠(yuǎn)程開戶、人臉取現(xiàn)、貸款等場景大規(guī)模普及,金融風(fēng)險不容小覷。
不僅是智能移動設(shè)備,以智能門鎖、智能攝像頭、智能電器為代表的物聯(lián)網(wǎng)設(shè)備,當(dāng)前存在大量安全漏洞。安全“裸奔”下的物聯(lián)網(wǎng)設(shè)備,不僅會出賣用戶隱私,同時令家庭成為黑客遙控的高危作案現(xiàn)場。并非是危言聳聽,家庭Wi-Fi已經(jīng)成為黑客搶占網(wǎng)絡(luò)環(huán)境下漏洞破解入口:黑客使用一個未公開的漏洞獲取路由器的最高權(quán)限,進(jìn)而控制了家庭內(nèi)的智能家居系統(tǒng),實現(xiàn)任意操縱家庭中的智能插座、智能洗衣機(jī)、智能電烤箱,讓洗衣機(jī)空轉(zhuǎn),電烤箱甚至可以超出標(biāo)稱的額定溫度。
根據(jù)國家信息安全漏洞平臺最新公開數(shù)據(jù)顯示,截止2017年6月底,共收錄3517個移動互聯(lián)網(wǎng)設(shè)備或軟件產(chǎn)品漏洞,并通報了多款智能監(jiān)控設(shè)備、路由器和智能移動設(shè)備等存在被遠(yuǎn)程控制高危風(fēng)險漏洞的安全事件。
毫無疑問,智能設(shè)備遭遇網(wǎng)絡(luò)安全攻陷后,最大風(fēng)險便是服務(wù)端的硬件設(shè)備丟失或云端信息被盜。盡管每一個智能硬件在出廠前都被設(shè)置有“唯一身份ID”,但開發(fā)者若對“開啟設(shè)備”和“存儲數(shù)據(jù)”沒有任何通訊加密或DDoS防御措施的話,黑客通過調(diào)試接口直接讀取到明文或者直接輸出至logcat 中,將直接導(dǎo)致用戶身份認(rèn)證憑證、會話令牌等被輕易破解。
攻防博弈升級:劫持并控制智能硬件核心
2015年全球黑客大賽GeekPwn在某次開場項目中,曾演示過“黑客”劫持一架無人機(jī)控制權(quán)的全過程,這是全球首例完整劫持和控制無人機(jī)案例。
要黑掉一架無人機(jī),先要獲取硬件設(shè)備信息。而無人機(jī)的硬件型號及性能信息,主要由負(fù)責(zé)射頻通信的芯片和負(fù)責(zé)邏輯的主控芯片掌握。當(dāng)黑客獲取主控芯片和射頻芯片之間SPI接口的通訊頻率,便能控制邏輯追蹤并解析出二進(jìn)制命令和遙控器工作流程,最終實現(xiàn)偽造遙控器和信息覆蓋漏洞,從而實現(xiàn)劫持和控制。
劫持并控制智能硬件核心,智能設(shè)備安全博弈戰(zhàn)正在升級。盡管芯片商、方案商和硬件開發(fā)商早已開始布局提升智能硬件“動態(tài)博弈”的能力,然而,技術(shù)創(chuàng)新和漏洞防御依然面臨“囚徒困境”。系統(tǒng)級安全漏洞頻現(xiàn)、管理端通訊加密和加速的應(yīng)用需求,云端webAPI入侵和DDOS攻擊越來越成規(guī)?;?,智能硬件開發(fā)者面臨著巨大的壓力。
業(yè)內(nèi)首個漏洞檢測工具:打響智能設(shè)備安全攻防戰(zhàn)
種種案例表明,開發(fā)一款智能硬件設(shè)備,無論是一款可穿戴設(shè)備,還是大型物聯(lián)網(wǎng)IoT部署,安全是首要考慮的問題,防患于未然,進(jìn)行體系化防御和長期對抗是解決之道。
打贏智能設(shè)備安全防御戰(zhàn),首先需要對黑客的攻擊方法有深刻的理解。百度安全作為國內(nèi)最早從事智能硬件安全攻防研究的團(tuán)隊,在智能硬件安全攻防實踐中具備豐富的經(jīng)驗,業(yè)內(nèi)首個漏洞檢測工具在這個背景下應(yīng)運而生。開發(fā)者點擊:http://w.x.baidu.com/jump/full/201/BaiduIoTScan即可下載。
作為業(yè)內(nèi)首個智能設(shè)備安全檢測工具,這款工具特點鮮明:全面開放,兼容各類智能設(shè)備;檢測范圍覆蓋智能設(shè)備常見高危漏洞,可提供一對一安全檢測報告,并提供業(yè)內(nèi)領(lǐng)先的解決方案。未來產(chǎn)品還將計劃提供漏洞掃描安全工具鏈和更專業(yè)的滲透測試、應(yīng)急響應(yīng)等安全服務(wù)。
據(jù)項目負(fù)責(zé)人介紹,工具首個版本將專注于Android系統(tǒng)智能設(shè)備,18個常見高危漏洞可供檢測,DuerOS首批開發(fā)者可搶先體驗。CVE編號為“CVE-2016-0805”的智能硬件漏洞,是一項基于Qualcomm ARM 處理器的效能事件管理器組件中的提權(quán)漏洞,它是一個本地權(quán)限提升漏洞,一旦被利用,攻擊者就可以獲得系統(tǒng)Root權(quán)限,為所欲為。任何Linux內(nèi)核版本低于3.8的系統(tǒng)都會受此影響,不但有成百上千萬PC、服務(wù)器岌岌可危,66%的安卓智能手機(jī)也同樣面臨著麻煩,影響數(shù)億安卓手機(jī)用戶的移動安全。
類似對數(shù)億安卓手機(jī)用戶形成安全殺傷力的漏洞,還有CVE編號為“CVE-2016-0819”(Qualcomm 效能組件中的提權(quán)漏洞),和“CVE-2014-3153”。后者迄今入侵了超過100萬谷歌賬戶,還在以每日感染13,000個設(shè)備的速度蔓延,從各類谷歌App中獲取用戶敏感信息。
上述漏洞,均可在工具首發(fā)版本中掃描檢測出。據(jù)項目負(fù)責(zé)人透露,工具將快速迭代,可檢測漏洞范圍將逐步擴(kuò)大,未來將兼容各類智能設(shè)備。
黑客和安全廠商之間的博弈,一直以黑客“行動占先”為優(yōu)勢策略,使得安全廠商“以防為攻”過于被動;當(dāng)安全廠商以“漏洞預(yù)警和滲透測試”升級“占優(yōu)策略”之后,游戲規(guī)則發(fā)生根本性改變。AI風(fēng)口在即,新一代安全變革已經(jīng)悄然來臨。預(yù)警智能設(shè)備開發(fā)者即將面臨的網(wǎng)絡(luò)安全、設(shè)備安全問題,并提供有效的解決方案,正成為安全廠商新一輪的挑戰(zhàn)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美國ITC裁定聯(lián)想智能手機(jī)侵犯愛立信專利
- 英特爾高通隔空叫陣:兩大巨頭在較什么勁?
- IDC最新預(yù)測:2024年P(guān)C和平板電腦市場將增長3.8%至4.035億臺
- 蘋果Vision Pro頭顯即將登陸中國臺灣,12月17日正式發(fā)售
- 全球折疊屏手機(jī)出貨量首次遭遇季度下滑,三星旗艦機(jī)型表現(xiàn)不佳是主因
- HUAWEI Mate X6 震撼登場,折疊引領(lǐng)者,巔峰再跨越
- 五年持續(xù)領(lǐng)跑,華為折疊屏一步領(lǐng)先,一路領(lǐng)先
- 全新HUAWEI MatePad Pro 13.2 英寸首發(fā)亮相,鴻蒙專業(yè)生產(chǎn)力體驗再升級
- 華為凌霄子母路由 Q7 網(wǎng)線版推出,讓每個房間都有滿格信號
- 華為發(fā)布HUAWEI WATCH D2,開啟腕上血壓管理新篇章
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。