IoT黑產(chǎn)驚人：黑掉攝像頭、劫持飛機、操控僵尸車隊、入侵核電站

反派塞隆成功入侵了智能汽車系統(tǒng)，遠程操控其自動駕駛功能，組成了可怖的僵尸車隊：數(shù)十輛失控的汽車從天而降；成百輛汽車如同僵尸一般瘋狂碰撞引起連環(huán)爆炸；巨大的沖擊波把跑車拋向天空，電影主角身陷火海之中。

不要以為這些精彩劇情，僅僅存在于電影《速度與激情8》里。在現(xiàn)實生活中，智能汽車、智能家居等智能終端，都有可能被黑客入侵。

萬物互聯(lián)的IoT時代，處于大爆發(fā)前夜，但各種安全隱患也如影隨形。

3月28日，由IFAA（互聯(lián)網(wǎng)金融身份認證聯(lián)盟）主辦的“IFAA 物聯(lián)網(wǎng)可信連接研討會”（以下簡稱研討會）在京召開，來自主管部門、學(xué)術(shù)界、產(chǎn)業(yè)界的參會者，就如何打造聚焦物聯(lián)網(wǎng)時代的安全生態(tài)聯(lián)盟，進行了深入的探討。

IoT安全黑洞：入侵、劫持、盜竊、勒索

小米的IoT平臺聯(lián)網(wǎng)設(shè)備已經(jīng)超過了1億臺；

BAT已經(jīng)或者即將發(fā)布多款智能音箱產(chǎn)品，天貓精靈已經(jīng)成為全球第三大智能音箱品牌；

百度剛剛獲得了北京市頒發(fā)的首張自動駕駛測試牌照；阿里巴巴集團和上汽集團聯(lián)手出品的首款互聯(lián)網(wǎng)汽車榮威RX5成為了炙手可熱的暢銷車；

受益于AI交互技術(shù)的成熟，云計算的快速發(fā)展，以及產(chǎn)業(yè)鏈軟硬件企業(yè)的大力推動，IoT有望在2018年迎來大爆發(fā)元年，已經(jīng)成為產(chǎn)學(xué)研界的共識。

IoT大爆發(fā)的同時，嗅覺靈敏、趁虛而入的黑客們也開始出手了。過去十年至今，智能設(shè)備遭遇攻擊的案例只增不減。

在研討會上，浙江大學(xué)教授、IFAA科研基金評委徐文淵介紹了語音攻擊的案例。

上海交通大學(xué)特別研究員、IFAA科研基金獲選人孔令和的發(fā)言，聚焦于RFID如何通過并行識別技術(shù)，提升IoT設(shè)備身份識別效率。

而西安交通大學(xué)副教授、IFAA科研基金獲選人沈超的演講，則把關(guān)注點放在工業(yè)互聯(lián)網(wǎng)領(lǐng)域。

徐文淵和她的研究團隊通過上千次試驗，利用麥克風(fēng)收集使用者語音，并將之加載至人耳無法聽到的超聲波上，然后操控語音助手，可以實現(xiàn)對智能手機、智能手表等智能終端的遠程操控。

實驗室將這種攻擊形式，命名為“海豚攻擊”。實驗顯示，語音助手所存在的漏洞，廣泛出現(xiàn)在包括蘋果、三星、華為、谷歌、亞馬遜等品牌中。

在論壇現(xiàn)場，徐文淵播放了一段視頻，極為噪雜的聲場環(huán)境中，徐文淵和其團隊，實現(xiàn)了對蘋果iwatch的系統(tǒng)破解。

不止在實驗室里，在外部的真實世界，智能設(shè)備遭遇黑客成功攻擊的案例也普遍存在。

3月18日，F(xiàn)acebook被曝出超過5000萬用戶信息被濫用。

2015年，浙江公司?？低暤闹悄軘z像頭遭到入侵，用戶個人隱私被該攝像頭在公開網(wǎng)絡(luò)上現(xiàn)場直播。互聯(lián)網(wǎng)上，甚至已經(jīng)出現(xiàn)了破解攝像頭的專業(yè)軟件和教程，一個完整的黑產(chǎn)鏈條雛形初現(xiàn)。

沈超則對工控網(wǎng)絡(luò)脆弱的防控體系表達了擔(dān)憂。

2000年，澳大利亞馬盧奇污水處理廠遭遇了非法入侵，在前后三個多月的時間里,總計約100萬升未經(jīng)處理的污水直接經(jīng)雨水渠排入了公園、河流等自然水系。

2010年7月，震網(wǎng)病毒攻擊了伊朗布什爾核電站，這種病毒能夠更改離心機中的發(fā)動機轉(zhuǎn)速，足以摧毀離心機運轉(zhuǎn)能力且無法修復(fù)。措手不及的伊朗政府，不得不在發(fā)電站即將啟動之前，暫時卸載了其核電站的核燃料。而在此前7年，美國的核電站也曾遭遇攻擊。

2015年6月，波蘭航空公司的地面操作系統(tǒng)遭遇黑客攻擊。

對于工業(yè)互聯(lián)網(wǎng)領(lǐng)域陸續(xù)發(fā)生的攻擊事件，沈超在演講中表示，工控網(wǎng)絡(luò)的漏洞，甚至比傳統(tǒng)互聯(lián)網(wǎng)還要嚴重，“工控網(wǎng)絡(luò)的“操作系統(tǒng)、技術(shù)零件器以及網(wǎng)絡(luò)節(jié)點更新速度很慢，甚至基本不更新，處理能力非常有限，很容易被攻擊、控制。航空、電廠、水廠、電網(wǎng)的漏洞都很多，隨便搞一搞就能看出來?！?/p>

沈超和其團隊，在實驗室通過竊聽、探測信息網(wǎng)絡(luò)，成功實現(xiàn)了對美國加州一家發(fā)電站的簡單攻擊。

主要專注于智能安防和家居領(lǐng)域的飛天誠信技術(shù)總監(jiān)伍妙君，分享主題聚焦于智能家居行業(yè)。伍妙君認為，信息安全有三個核心，“機密性，也就是說數(shù)據(jù)不泄露；完整性，我的數(shù)據(jù)不被中間人篡改；可用性，數(shù)據(jù)實時可用，不會影響中斷和服務(wù)，對應(yīng)到智能家居領(lǐng)域，則被細化為：人的認證；安全鏈路；指令的確認。”但伍妙君同時也特意強調(diào)，針對消費者端的智能家居產(chǎn)品，在保證安全之余，用戶體驗始終是第一位的。

8位來自不同領(lǐng)域的嘉賓，發(fā)言既前瞻又務(wù)實，初步描繪了IoT身份識別和安全生態(tài)構(gòu)建的草圖。盡快構(gòu)建與IoT時代適配的全方位的安全生態(tài)體系，成為了參會人員的共識。

IFAA助力，搭建IoT安全生態(tài)聯(lián)盟

面對洶洶而來的IoT安全事故，與會的產(chǎn)學(xué)研人士達成了共識，必須構(gòu)建一套融合產(chǎn)業(yè)鏈上下游力量的全方位的安全風(fēng)控體系，合力狙擊虎視眈眈的黑客軍團。

“與智能手機行業(yè)不同，整個IoT領(lǐng)域相當(dāng)碎片化、多元化。IoT行業(yè)有幾百家芯片廠商，在這上面可能有成千上萬的整機廠商，再往上有幾十萬上百萬的軟件開發(fā)者”，全球領(lǐng)先的半導(dǎo)體知識產(chǎn)權(quán) (IP) 提供商ARM公司的資深市場經(jīng)理王駿超說，“IoT的安全體系，需要芯片廠商、安全廠商、智能終端、服務(wù)商等，一塊來搭建。單獨一家企業(yè)的力量遠遠不夠?！?/p>

在IoT大爆發(fā)前夜，亟需類似IFAA這樣的聯(lián)盟組織，集合全產(chǎn)業(yè)鏈上下游企業(yè)的力量，共筑適配IoT時代的安全生態(tài)聯(lián)盟。

作為國內(nèi)主流的身份識別技術(shù)行業(yè)標準組織，IFAA目前已經(jīng)匯集了超過160家全產(chǎn)業(yè)鏈不同角色的會員單位，覆蓋設(shè)備廠商、芯片廠商、算法廠商、安全廠商、標準機構(gòu)、檢測機構(gòu)等等產(chǎn)業(yè)鏈上下游單位。

通過技術(shù)合作與標準制定，IFAA對外輸出的“身份識別技術(shù)行業(yè)解決方案”，充分保障了從芯片層到硬件層、應(yīng)用層等全鏈路的協(xié)議及傳輸安全，降低了行業(yè)開發(fā)及適配的成本，有助于支持硬件及應(yīng)用廠商的快速發(fā)展，目前，已有超過36個品牌、230多款機型使用了IFAA提供的解決方案。

ARM于2016年1月加入了IFAA聯(lián)盟，王駿超表示，“我們非常關(guān)注服務(wù)商對底層安全架構(gòu)的需求，加入IFAA之后，我們能夠更深入的了解服務(wù)商對IP的需求，我們知道該往哪個方向做，希望能跟產(chǎn)業(yè)鏈一起推廣安全架構(gòu)，分擔(dān)安全責(zé)任?！?/p>

作為學(xué)術(shù)界代表，徐文淵介紹完語音攻擊的兩個案例后，給IFAA聯(lián)盟提出了建議，“希望在考慮制訂標準時，能把相關(guān)問題考慮進去?！?/p>

中國電子技術(shù)標準化研究院物聯(lián)網(wǎng)研究中心、物聯(lián)網(wǎng)標準與應(yīng)用工業(yè)和信息化部重點實驗室主任王文峰，強調(diào)了構(gòu)建物聯(lián)網(wǎng)技術(shù)與標準化的重要性。他作為指導(dǎo)部門的代表，點贊了IFAA聯(lián)盟的活力和價值，并對IFAA聯(lián)盟提出了建議，“搭建一個活躍的好聯(lián)盟很不容易。一個好的聯(lián)盟，第一應(yīng)該始終堅持初心和使命，第二，應(yīng)該以聯(lián)盟成員利益為先，第三，應(yīng)該構(gòu)建共贏的利益生態(tài)體系?！?/p>

據(jù)悉，IFAA聯(lián)盟正在調(diào)研成員企業(yè)的需求，籌備建立IoT工作組。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。