安全漏洞橫行 物聯網危機重重
責編:admin |2014-08-15 15:32:51當前,在物聯網時代下,物聯網建設步伐越來越快,與此同時,安全問題將成為制約其全面發展的重要因素。物聯網一般分為感知層、傳輸層和應用層三個層面,信號的傳輸和處理跨越了傳感網、互聯網、移動互聯網等多個通信網絡,感知網絡的傳輸與信息安全、核心網絡的傳輸與信息安全等問題都是物聯網發展過程中所不容忽視的問題。
特斯拉招黑客尋程序漏洞
在近日全球安全圈人士聚焦的Def Con黑客大會上,特斯拉的參加引發了熱議。作為唯一一家以官方身份參加的知名企業,特斯拉邀請黑客尋找其汽車軟件中的漏洞,并計劃招募至多30名黑客作為安全研究員。
特斯拉汽車中擁有無線互聯網連接,可以像iPhone那樣進行OTA升級。特斯拉參加Def Con黑客大會顯示出汽車制造商正日益重視軟件安全。而汽車接入互聯網的同時,不法分子也發現了可趁之機。近期,國內的安全專家對特斯拉Model S電動汽車進行研究后發現,后者的應用程序流程存在設計缺陷。攻擊者利用這個漏洞,可遠程控制車輛,實現開鎖、鳴笛、閃燈、開啟天窗等操作。
而在上個月筆者參加的全球首個智能設備安全嘉年華GeekPwn新聞發布會上,一名極客也在現場向記者演示了如何通過漏洞遙控特斯拉。只需極客通過筆記本電腦操作一個程序,按下按鍵,特斯拉汽車就會突然“叫”起來。
谷歌眼鏡暴安全隱患
早在今年年初,美國科技博客Android Authority就發表聲明,Android系統中的一個安全漏洞在谷歌眼鏡上同樣可用,黑客可以利用該漏洞執行惡意代碼。
Android Authority稱,研究人員去年下半年發現,使用Android 4.1 API編譯的移動應用可以利用Java script接口中的一個漏洞。黑客只需在應用中創建一個WebView對象,就可以利用add Java script Interface這個API來執行惡意代碼。
Web View對象在Android免費應用中相當普遍,可用于載入廣告、使用說明、開發者網站等html內容。谷歌官方API文檔對此的說明中承認,對于使用Android 4.1 SDK編譯的應用程序來說,黑客通過該API操縱主程序,以主程序獲取的權限來執行Java代碼。
醫療行業BYOD安全引焦慮
如果說谷歌眼鏡和特斯拉汽車存在的程序漏洞令其用戶及開發者們寢食難安的話,那么醫療行業的物聯網安全隱患則足以令醫療工作者頭痛不已。
在醫療行業中,物聯網與BYOD息息相關,它決定了醫療機構如何建立其系統,如何在網絡中采用新訪問節點的大型陣列。物聯網中包含的“物”涉及患者監視及診斷設備,這些設備都是通過網絡啟用,一旦考慮到所傳輸數據的敏感性,一個可怕的想法就會再次顯現。盡管目前這些無線醫療設備已得以實現,但是目前這些設備都是通過藍牙系統進行通信,將數據通過智能手機或電腦傳輸至末端節點。然而,一旦這些設備可以通過WiFi啟用,緩沖區將消失,并在網絡中創建另一個訪問節點。
這兩種趨勢都給醫療機構帶來了特殊的安全性和互聯性挑戰。目前開發人員仍然在研究如何將這些數據與各種在用的電子醫療記錄(EMRs)進行合并,這部分不是問題的關鍵,數據的安全性才是最為困難的問題。不僅需要確保未授權人員無法通過任何移動設備訪問網絡,而且需要確保傳輸數據的安全性。這一問題可能再次引發所有安全管理人員的擔心。
麥肯錫全球研究院高級研究員Michael Chui認為,當我們開始將現實世界與虛擬世界進行融合時(+本站微信networkworldweixin),安全的確是一個最大的挑戰。如果人類想有效地使用物聯網,那么必須改變你的決策方式。
更多智能設備成攻擊對象
除智能汽車、醫療行業以及谷歌眼鏡外,更多的智能設備正在成為黑客的攻擊對象。智能手機、智能腕表、智能家居、智能汽車、智能機器人,隨著智能設備不斷升級,人類似乎就要住進科幻世界里了,科幻世界里描述的智能設備漏洞和黑客攻擊也成了現實的一幕。
一名極客曾向筆者介紹稱,眼下智能家居、智能穿戴、智能交通、智能娛樂、智能終端等五大智能生活都存在安全問題。“不要以為只有電腦、手機才是黑客的攻擊對象,智能馬桶也會是攻擊目標。”他指著現場的一個智能馬桶說,極客可以輕而易舉地讓這個馬桶瞬間變成音樂噴泉。
此前,已經有黑客對智能家居“下手”了。計算機安全研究公司Proofpoint在去年底發現了一種新型的僵尸網絡,這種網絡可以感染聯網的家電設備,并借機發送了數十萬封惡意電子郵件,這是首例被證實的基于智能家居的網絡攻擊行為。