我们发现漏洞之后,会通过补天平台跟厂家直接联系。有些厂家很积极地就修复了漏洞,有些厂家会置之不理,以为我们是给他们找麻烦的。漏洞提交一定时间之后,我们可能会公开漏洞,但不提供技术细节,敦促他们修改。
其实,智能硬件行业的安全问题是很普遍的。由于公司内部没有专业的安全团队,安全意识也比较薄弱。而且目前很多智能硬件快速迭代,出货量也很大。迭代快速的智能硬件,安全需求就会很多,如果没有考虑到安全需求的存在,就有可能会出现安全问题。现在很多黑客们都曝光了很多智能硬件的问题,研究者都对IOT这块兴趣度很高,我猜后面的安全问题可能会很多的被曝光出来。
从安全研究员的角度,我建议智能硬件的厂家首先在功能设计上就要考虑有远程OTA的功能,用于修复可能存在的漏洞。如果设计时没考虑,可以通过在云端做一些访问限制,降低漏洞的危害。没有远程升级的话,可以让用户自己下载固件,本地升级设备。再不行,可以效仿整车厂,给用户发一个升级的U盘让用户自动升级。
我们能够等到放心购买智能产品的那一天吗?实际上,IOT(物联网)的安全问题还是很严重的。
今年RSA 2016 有一个调查说,IOT是隐私泄露的灾区。IOT设备通过传感器和控制器,采集到的都是与用户相关的生活数据和位置数据,这些数据如果被加以利用一定会有“价值”。
很多智能硬件不会对用户造成直接危害。但是黑客可以利用它们的漏洞植入后门,进而控制设备。这样攻击者就可以利用智能硬件发起大量的拒绝服务攻击,攻击互联网目标。
作为普通的用户,需要对于自己身边的智能硬件设备的漏洞进行一些关注,平时可以在搜素引擎里面搜相关的产品和漏洞。
如果担心自己的设备被黑,也可以自己做简单的测试:如果你的设备运行状态异常,网络流量异常,那么有可能自己的设备有可能被黑。这可能需要有一个能够记录流量的网关设备来统计流量变化。目前市面上大部分的智能路由器同支持终端流量统计的。
一般情况下,我们发现自己的设备被黑,尽量的先初始化这个设备的系统。然后把设备设计到最新版本,如果最新版本有漏洞,那么就等待厂商补丁。不要把设备的管理端口暴露在公网。
现在已经进入到工业4.0时代,智能制造时代。智能硬件可以让我们的生活更方便,所以这个行业一定会大有发展。至于安全性,需要国家、安全公司,智能硬件制造商的多方努力,建立一套行业的信息安全标准、规范、指南,才能指导厂商开发出来安全的智能硬件。
这样的话,我们肯定能等到能够放心购买智能设备的那一天。毕竟我们还年轻。。。
news.zol.com.cn true 中关村在线 report 6427 分享嘉宾:刘健皓,知名黑客,360网络安全攻防实验室资深研究员。曾经在2014年破解特斯拉汽车,2015年协助举办HACKPWN黑客大会,破解了市面上主流的智能硬件,包括摄像头,洗衣机,烤箱,智能安防等设备。【刘健皓】作为一名破解了无数智能产品的黑客,怎么看315晚会的“...