IoT黑產(chǎn)驚人：黑掉攝像頭、劫持飛機(jī)、操控僵尸車隊(duì)、入侵核電站

反派塞隆成功入侵了智能汽車系統(tǒng)，遠(yuǎn)程操控其自動(dòng)駕駛功能，組成了可怖的僵尸車隊(duì)：數(shù)十輛失控的汽車從天而降；成百輛汽車如同僵尸一般瘋狂碰撞引起連環(huán)爆炸；巨大的沖擊波把跑車拋向天空，電影主角身陷火海之中。

不要以為這些精彩劇情，僅僅存在于電影《速度與激情8》里。在現(xiàn)實(shí)生活中，智能汽車、智能家居等智能終端，都有可能被黑客入侵。

萬物互聯(lián)的IoT時(shí)代，處于大爆發(fā)前夜，但各種安全隱患也如影隨形。

3月28日，由IFAA（互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟）主辦的“IFAA 物聯(lián)網(wǎng)可信連接研討會(huì)”（以下簡稱研討會(huì)）在京召開，來自主管部門、學(xué)術(shù)界、產(chǎn)業(yè)界的參會(huì)者，就如何打造聚焦物聯(lián)網(wǎng)時(shí)代的安全生態(tài)聯(lián)盟，進(jìn)行了深入的探討。

IoT安全黑洞：入侵、劫持、盜竊、勒索

小米的IoT平臺(tái)聯(lián)網(wǎng)設(shè)備已經(jīng)超過了1億臺(tái)；

BAT已經(jīng)或者即將發(fā)布多款智能音箱產(chǎn)品，天貓精靈已經(jīng)成為全球第三大智能音箱品牌；

百度剛剛獲得了北京市頒發(fā)的首張自動(dòng)駕駛測試牌照；阿里巴巴集團(tuán)和上汽集團(tuán)聯(lián)手出品的首款互聯(lián)網(wǎng)汽車榮威RX5成為了炙手可熱的暢銷車；

受益于AI交互技術(shù)的成熟，云計(jì)算的快速發(fā)展，以及產(chǎn)業(yè)鏈軟硬件企業(yè)的大力推動(dòng)，IoT有望在2018年迎來大爆發(fā)元年，已經(jīng)成為產(chǎn)學(xué)研界的共識(shí)。

IoT大爆發(fā)的同時(shí)，嗅覺靈敏、趁虛而入的黑客們也開始出手了。過去十年至今，智能設(shè)備遭遇攻擊的案例只增不減。

在研討會(huì)上，浙江大學(xué)教授、IFAA科研基金評委徐文淵介紹了語音攻擊的案例。

上海交通大學(xué)特別研究員、IFAA科研基金獲選人孔令和的發(fā)言，聚焦于RFID如何通過并行識(shí)別技術(shù)，提升IoT設(shè)備身份識(shí)別效率。

而西安交通大學(xué)副教授、IFAA科研基金獲選人沈超的演講，則把關(guān)注點(diǎn)放在工業(yè)互聯(lián)網(wǎng)領(lǐng)域。

徐文淵和她的研究團(tuán)隊(duì)通過上千次試驗(yàn)，利用麥克風(fēng)收集使用者語音，并將之加載至人耳無法聽到的超聲波上，然后操控語音助手，可以實(shí)現(xiàn)對智能手機(jī)、智能手表等智能終端的遠(yuǎn)程操控。

實(shí)驗(yàn)室將這種攻擊形式，命名為“海豚攻擊”。實(shí)驗(yàn)顯示，語音助手所存在的漏洞，廣泛出現(xiàn)在包括蘋果、三星、華為、谷歌、亞馬遜等品牌中。

在論壇現(xiàn)場，徐文淵播放了一段視頻，極為噪雜的聲場環(huán)境中，徐文淵和其團(tuán)隊(duì)，實(shí)現(xiàn)了對蘋果iwatch的系統(tǒng)破解。

不止在實(shí)驗(yàn)室里，在外部的真實(shí)世界，智能設(shè)備遭遇黑客成功攻擊的案例也普遍存在。

3月18日，F(xiàn)acebook被曝出超過5000萬用戶信息被濫用。

2015年，浙江公司?？低暤闹悄軘z像頭遭到入侵，用戶個(gè)人隱私被該攝像頭在公開網(wǎng)絡(luò)上現(xiàn)場直播?；ヂ?lián)網(wǎng)上，甚至已經(jīng)出現(xiàn)了破解攝像頭的專業(yè)軟件和教程，一個(gè)完整的黑產(chǎn)鏈條雛形初現(xiàn)。

沈超則對工控網(wǎng)絡(luò)脆弱的防控體系表達(dá)了擔(dān)憂。

2000年，澳大利亞馬盧奇污水處理廠遭遇了非法入侵，在前后三個(gè)多月的時(shí)間里,總計(jì)約100萬升未經(jīng)處理的污水直接經(jīng)雨水渠排入了公園、河流等自然水系。

2010年7月，震網(wǎng)病毒攻擊了伊朗布什爾核電站，這種病毒能夠更改離心機(jī)中的發(fā)動(dòng)機(jī)轉(zhuǎn)速，足以摧毀離心機(jī)運(yùn)轉(zhuǎn)能力且無法修復(fù)。措手不及的伊朗政府，不得不在發(fā)電站即將啟動(dòng)之前，暫時(shí)卸載了其核電站的核燃料。而在此前7年，美國的核電站也曾遭遇攻擊。

2015年6月，波蘭航空公司的地面操作系統(tǒng)遭遇黑客攻擊。

對于工業(yè)互聯(lián)網(wǎng)領(lǐng)域陸續(xù)發(fā)生的攻擊事件，沈超在演講中表示，工控網(wǎng)絡(luò)的漏洞，甚至比傳統(tǒng)互聯(lián)網(wǎng)還要嚴(yán)重，“工控網(wǎng)絡(luò)的“操作系統(tǒng)、技術(shù)零件器以及網(wǎng)絡(luò)節(jié)點(diǎn)更新速度很慢，甚至基本不更新，處理能力非常有限，很容易被攻擊、控制。航空、電廠、水廠、電網(wǎng)的漏洞都很多，隨便搞一搞就能看出來。”

沈超和其團(tuán)隊(duì)，在實(shí)驗(yàn)室通過竊聽、探測信息網(wǎng)絡(luò)，成功實(shí)現(xiàn)了對美國加州一家發(fā)電站的簡單攻擊。

主要專注于智能安防和家居領(lǐng)域的飛天誠信技術(shù)總監(jiān)伍妙君，分享主題聚焦于智能家居行業(yè)。伍妙君認(rèn)為，信息安全有三個(gè)核心，“機(jī)密性，也就是說數(shù)據(jù)不泄露；完整性，我的數(shù)據(jù)不被中間人篡改；可用性，數(shù)據(jù)實(shí)時(shí)可用，不會(huì)影響中斷和服務(wù)，對應(yīng)到智能家居領(lǐng)域，則被細(xì)化為：人的認(rèn)證；安全鏈路；指令的確認(rèn)?！钡槊罹瑫r(shí)也特意強(qiáng)調(diào)，針對消費(fèi)者端的智能家居產(chǎn)品，在保證安全之余，用戶體驗(yàn)始終是第一位的。

8位來自不同領(lǐng)域的嘉賓，發(fā)言既前瞻又務(wù)實(shí)，初步描繪了IoT身份識(shí)別和安全生態(tài)構(gòu)建的草圖。盡快構(gòu)建與IoT時(shí)代適配的全方位的安全生態(tài)體系，成為了參會(huì)人員的共識(shí)。

IFAA助力，搭建IoT安全生態(tài)聯(lián)盟

面對洶洶而來的IoT安全事故，與會(huì)的產(chǎn)學(xué)研人士達(dá)成了共識(shí)，必須構(gòu)建一套融合產(chǎn)業(yè)鏈上下游力量的全方位的安全風(fēng)控體系，合力狙擊虎視眈眈的黑客軍團(tuán)。

“與智能手機(jī)行業(yè)不同，整個(gè)IoT領(lǐng)域相當(dāng)碎片化、多元化。IoT行業(yè)有幾百家芯片廠商，在這上面可能有成千上萬的整機(jī)廠商，再往上有幾十萬上百萬的軟件開發(fā)者”，全球領(lǐng)先的半導(dǎo)體知識(shí)產(chǎn)權(quán) (IP) 提供商ARM公司的資深市場經(jīng)理王駿超說，“IoT的安全體系，需要芯片廠商、安全廠商、智能終端、服務(wù)商等，一塊來搭建。單獨(dú)一家企業(yè)的力量遠(yuǎn)遠(yuǎn)不夠。”

在IoT大爆發(fā)前夜，亟需類似IFAA這樣的聯(lián)盟組織，集合全產(chǎn)業(yè)鏈上下游企業(yè)的力量，共筑適配IoT時(shí)代的安全生態(tài)聯(lián)盟。

作為國內(nèi)主流的身份識(shí)別技術(shù)行業(yè)標(biāo)準(zhǔn)組織，IFAA目前已經(jīng)匯集了超過160家全產(chǎn)業(yè)鏈不同角色的會(huì)員單位，覆蓋設(shè)備廠商、芯片廠商、算法廠商、安全廠商、標(biāo)準(zhǔn)機(jī)構(gòu)、檢測機(jī)構(gòu)等等產(chǎn)業(yè)鏈上下游單位。

通過技術(shù)合作與標(biāo)準(zhǔn)制定，IFAA對外輸出的“身份識(shí)別技術(shù)行業(yè)解決方案”，充分保障了從芯片層到硬件層、應(yīng)用層等全鏈路的協(xié)議及傳輸安全，降低了行業(yè)開發(fā)及適配的成本，有助于支持硬件及應(yīng)用廠商的快速發(fā)展，目前，已有超過36個(gè)品牌、230多款機(jī)型使用了IFAA提供的解決方案。

ARM于2016年1月加入了IFAA聯(lián)盟，王駿超表示，“我們非常關(guān)注服務(wù)商對底層安全架構(gòu)的需求，加入IFAA之后，我們能夠更深入的了解服務(wù)商對IP的需求，我們知道該往哪個(gè)方向做，希望能跟產(chǎn)業(yè)鏈一起推廣安全架構(gòu)，分擔(dān)安全責(zé)任?！?/p>

作為學(xué)術(shù)界代表，徐文淵介紹完語音攻擊的兩個(gè)案例后，給IFAA聯(lián)盟提出了建議，“希望在考慮制訂標(biāo)準(zhǔn)時(shí)，能把相關(guān)問題考慮進(jìn)去?！?/p>

中國電子技術(shù)標(biāo)準(zhǔn)化研究院物聯(lián)網(wǎng)研究中心、物聯(lián)網(wǎng)標(biāo)準(zhǔn)與應(yīng)用工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室主任王文峰，強(qiáng)調(diào)了構(gòu)建物聯(lián)網(wǎng)技術(shù)與標(biāo)準(zhǔn)化的重要性。他作為指導(dǎo)部門的代表，點(diǎn)贊了IFAA聯(lián)盟的活力和價(jià)值，并對IFAA聯(lián)盟提出了建議，“搭建一個(gè)活躍的好聯(lián)盟很不容易。一個(gè)好的聯(lián)盟，第一應(yīng)該始終堅(jiān)持初心和使命，第二，應(yīng)該以聯(lián)盟成員利益為先，第三，應(yīng)該構(gòu)建共贏的利益生態(tài)體系。”

據(jù)悉，IFAA聯(lián)盟正在調(diào)研成員企業(yè)的需求，籌備建立IoT工作組。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。