安全漏洞屢遭破解 物聯(lián)網(wǎng)安全前景堪憂
責(zé)編:admin |2014-08-14 14:08:05隨著物聯(lián)網(wǎng)建設(shè)的加快,物聯(lián)網(wǎng)的安全問題將成為制約其全面發(fā)展的重要因素。物聯(lián)網(wǎng)一般分為感知層、傳輸層和應(yīng)用層三個層面,信號的傳輸和處理跨越了傳感網(wǎng)、互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等多個通信網(wǎng)絡(luò),感知網(wǎng)絡(luò)的傳輸與信息安全、核心網(wǎng)絡(luò)的傳輸與信息安全等問題都是物聯(lián)網(wǎng)發(fā)展過程中所不容忽視的問題。
特斯拉招黑客尋程序漏洞
在近日全球安全圈人士聚焦的Def Con黑客大會上,特斯拉的參加引發(fā)了熱議。作為唯一一家以官方身份參加的知名企業(yè),特斯拉邀請黑客尋找其汽車軟件中的漏洞,并計劃招募至多30名黑客作為安全研究員。
特斯拉汽車中擁有無線互聯(lián)網(wǎng)連接,可以像iPhone那樣進行OTA升級。特斯拉參加Def Con黑客大會顯示出汽車制造商正日益重視軟件安全。而汽車接入互聯(lián)網(wǎng)的同時,不法分子也發(fā)現(xiàn)了可趁之機。近期,國內(nèi)的安全專家對特斯拉Model S電動汽車進行研究后發(fā)現(xiàn),后者的應(yīng)用程序流程存在設(shè)計缺陷。攻擊者利用這個漏洞,可遠程控制車輛,實現(xiàn)開鎖、鳴笛、閃燈、開啟天窗等操作。
而在上個月筆者參加的全球首個智能設(shè)備安全嘉年華GeekPwn新聞發(fā)布會上,一名極客也在現(xiàn)場向記者演示了如何通過漏洞遙控特斯拉。只需極客通過筆記本電腦操作一個程序,按下按鍵,特斯拉汽車就會突然“叫”起來。
谷歌眼鏡暴安全隱患
早在今年年初,美國科技博客Android Authority就發(fā)表聲明,Android系統(tǒng)中的一個安全漏洞在谷歌眼鏡上同樣可用,黑客可以利用該漏洞執(zhí)行惡意代碼。
Android Authority稱,研究人員去年下半年發(fā)現(xiàn),使用Android 4.1 API編譯的移動應(yīng)用可以利用Java script接口中的一個漏洞。黑客只需在應(yīng)用中創(chuàng)建一個WebView對象,就可以利用add Java script Interface這個API來執(zhí)行惡意代碼。
Web View對象在Android免費應(yīng)用中相當普遍,可用于載入廣告、使用說明、開發(fā)者網(wǎng)站等html內(nèi)容。谷歌官方API文檔對此的說明中承認,對于使用Android 4.1 SDK編譯的應(yīng)用程序來說,黑客通過該API操縱主程序,以主程序獲取的權(quán)限來執(zhí)行Java代碼。
醫(yī)療行業(yè)BYOD安全引焦慮
如果說谷歌眼鏡和特斯拉汽車存在的程序漏洞令其用戶及開發(fā)者們寢食難安的話,那么醫(yī)療行業(yè)的物聯(lián)網(wǎng)安全隱患則足以令醫(yī)療工作者頭痛不已。
在醫(yī)療行業(yè)中,物聯(lián)網(wǎng)與BYOD息息相關(guān),它決定了醫(yī)療機構(gòu)如何建立其系統(tǒng),如何在網(wǎng)絡(luò)中采用新訪問節(jié)點的大型陣列。物聯(lián)網(wǎng)中包含的“物”涉及患者監(jiān)視及診斷設(shè)備,這些設(shè)備都是通過網(wǎng)絡(luò)啟用,一旦考慮到所傳輸數(shù)據(jù)的敏感性,一個可怕的想法就會再次顯現(xiàn)。盡管目前這些無線醫(yī)療設(shè)備已得以實現(xiàn),但是目前這些設(shè)備都是通過藍牙系統(tǒng)進行通信,將數(shù)據(jù)通過智能手機或電腦傳輸至末端節(jié)點。然而,一旦這些設(shè)備可以通過WiFi啟用,緩沖區(qū)將消失,并在網(wǎng)絡(luò)中創(chuàng)建另一個訪問節(jié)點。
這兩種趨勢都給醫(yī)療機構(gòu)帶來了特殊的安全性和互聯(lián)性挑戰(zhàn)。目前開發(fā)人員仍然在研究如何將這些數(shù)據(jù)與各種在用的電子醫(yī)療記錄(EMRs)進行合并,這部分不是問題的關(guān)鍵,數(shù)據(jù)的安全性才是最為困難的問題。不僅需要確保未授權(quán)人員無法通過任何移動設(shè)備訪問網(wǎng)絡(luò),而且需要確保傳輸數(shù)據(jù)的安全性。這一問題可能再次引發(fā)所有安全管理人員的擔(dān)心。
麥肯錫全球研究院高級研究員Michael Chui認為,當我們開始將現(xiàn)實世界與虛擬世界進行融合時(+本站微信networkworldweixin),安全的確是一個最大的挑戰(zhàn)。如果人類想有效地使用物聯(lián)網(wǎng),那么必須改變你的決策方式。
更多智能設(shè)備成攻擊對象
除智能汽車、醫(yī)療行業(yè)以及谷歌眼鏡外,更多的智能設(shè)備正在成為黑客的攻擊對象。智能手機、智能腕表、智能家居、智能汽車、智能機器人,隨著智能設(shè)備不斷升級,人類似乎就要住進科幻世界里了,科幻世界里描述的智能設(shè)備漏洞和黑客攻擊也成了現(xiàn)實的一幕。
一名極客曾向筆者介紹稱,眼下智能家居、智能穿戴、智能交通、智能娛樂、智能終端等五大智能生活都存在安全問題。“不要以為只有電腦、手機才是黑客的攻擊對象,智能馬桶也會是攻擊目標。”他指著現(xiàn)場的一個智能馬桶說,極客可以輕而易舉地讓這個馬桶瞬間變成音樂噴泉。
此前,已經(jīng)有黑客對智能家居“下手”了。計算機安全研究公司Proofpoint在去年底發(fā)現(xiàn)了一種新型的僵尸網(wǎng)絡(luò),這種網(wǎng)絡(luò)可以感染聯(lián)網(wǎng)的家電設(shè)備,并借機發(fā)送了數(shù)十萬封惡意電子郵件,這是首例被證實的基于智能家居的網(wǎng)絡(luò)攻擊行為。
如何保護你的設(shè)備
分析機構(gòu)IDC預(yù)測,到2020年將有2000億臺智能設(shè)備,連接至互聯(lián)網(wǎng),而現(xiàn)在約有50億臺設(shè)備。其中包括約10億臺電腦、20億個手機或平板電腦以及20億個如溫度監(jiān)控、網(wǎng)絡(luò)攝像機等設(shè)備。
另外,移動分析公司Flurry的報告顯示,中國已經(jīng)超過美國成為全球最大的智能設(shè)備市場。保護這些設(shè)備將是一個挑戰(zhàn)。因為許多設(shè)備只具備極為有限的處理能力,不能夠運行常規(guī)的反惡意軟件解決方案。所以,安全性依賴于用戶更改密碼和更改默認設(shè)置,并確保該設(shè)備不是開放,一般做法是建議人們保護家庭無線網(wǎng)絡(luò)。
即便危險重重,攻擊者成功利用這類漏洞實施攻擊的概率仍然相對較低,而且值得慶幸的是,目前這些漏洞都在可控范圍內(nèi)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧