小心你的智能硬件存在巨大漏洞

　　智能硬件安全隐患过半

　　万物互联时代，给人们的生活带来了极大的便利，人脸支付、智能指纹锁、智能汽车等等广泛的市场需求，带来了海量的智能终端，也带来了海量的硬件安全隐患。在9月份的第四届国家网络安全宣传周上，极棒实验室联合上海社会科学院互联网研究中心发布了《智能物联网安全风险报告》，通过统计数据发现，新型智能安全威胁比重从2014年的40%上升至如今的58%。

　　刚刚过去的2017极棒嘉年华大赛上，毕业于浙江大学计算机系的90后极客tyy利用设备漏洞，仅用了150秒就成功破解了使用人脸识别的门禁系统，她告诉《IT时报》记者，所有智能硬件设备都有可能存在安全问题，人脸识别只是运行在设备上的一个应用，所以也不例外。从技术角度来说，破解并不难。

　　一款智能硬件通常由算法、基础设施、应用系统三大板块组成，在万物互联时代，这三大板块均面临着严峻的安全风险：首先是算法层面，《IT时报》此前报道过由于指纹芯片厂商算法存在缺陷，导致手机Home键出现裂纹后人人可解;其次是基础设施，也就是针对各种框架、云服务的攻击，脆弱的云端是智能家居被黑之关键，今年3·15晚会曝光的远程启动用户家中智能摄像头进行偷拍便是典型案例;应用系统层面的漏洞最为可怕，企业掌握收集用户大量信息，被泄露撞库后，影响大量用户的财产安全，去年京东就曾被爆出12G的用户信息遭到泄露，并在黑市被公开出售。

　　更严重的案例是，维基解密今年8月公布的文章显示，美国中央情报局曾通过生物识别设备供应商掌握了印度10多亿人的生物识别数据，包括照片、指纹、虹膜扫描，虽无法预见美国中央情报局收集此信息的用途，但业内人士的共识是，这项数据泄露已经涉及国家战略层面的安全问题。

　　不安全的智能硬件与生物识别搭载在一起，使风险系数大增，不仅仅是因为这三大层面都容易产生数据泄露，更是因为生物特征信息唯一且不可更改，一旦发生泄露被人利用，作为其身份认证的后果不堪设想。同样是极棒大赛上，黑客利用个人正面脸部图像，简单修图后就能解锁主人手机。上海市信息安全测评认证中心主任蒋力群表示，智能硬件在使用过程中，肯定需要收集和使用一些生物信息，对生物主体进行判别。但是企业只能保留必要的节点信息和统计信息以备日后查询，不能截留保存多余的过程信息和特征信息，以防止未经授权被恶意利用。

　　《智能物联网安全风险报告》表示，智能设备的安全威胁正经历着攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化等多种趋势，报告认为，与传统的硬件相比，这些新型智能设备的出现为攻击者提供了巨大“机会”。

　　安全投入成本是项目开发两倍以上

　　然而，智能产品厂商对安全重视程度远远不够。

　　极棒大赛举办四年以来，每年有近一半的厂商未曾对极棒的安全预警做出积极回应。而未回应的原因，在智能家居企业移康智能战略发展部总监朱林清看来，除了安全意识不够以外，更多因为成本。

　　“在单机硬件模具等成本为200万元的情况下，后台系统的研发、安全投入是单机的3-5倍。”朱林清表示，提高产品的安全性，一方面要增加前期研发人力，专注于安全保障，另一方面，单机成本也会提高。“不同的安全级别对芯片和性能都是有高要求的，想要安全性更高，产品的成本也就水涨船高。”他表示，尤其是规模小的智能硬件厂商，很难承担得起这样的成本投入。

　　贝尔赛克BIOSEC是一家做指纹智能锁具的模组生产商，他们刚刚投入了百万资金用于与阿里的的安全架构合作。“以前，联网的智能锁经常会受到来自云端的攻击，为了安全起见，我们屏蔽了一些远程开门的功能，技术上是通过本地的操作来进行指纹锁的开启，比如说密码或指纹，当然，我们在安全领域关注和投入也已经有很长时间，这方面是需要有相当的专业性和持续性的积累。”贝尔赛克BIOSEC董事长刘君向《IT时报》记者表示，他们是传统的硬件厂商，对网络安全涉及不够深入，所以在产品设计上十分谨慎。

　　最近，因为阿里巴巴、华为等一些大的IT企业推出了针对物联网的安全服务，因为双方也有一定的合作基础，所以他们才考虑在云端集成更多的功能。

　　作为指纹门锁的龙头老大，刘君坦承与中小企业相比，贝尔赛克在安全方面投入拥有绝对的优势。除了资金较为充裕，拥有安全技术专业团队外，“随着我们市场份额的增加，百万级的投入分摊到几百万模组的出货量上，单个模组的成本只提高几毛钱，比较低的成本就能获得安全，客户能够接受。”

　　与贝尔赛克嫁接BAT的安全服务不同，既做硬件又做平台的移康智能，因多款产品支持远程控制，对安全级别要求较高，他们在后台云服务器上的投入已经有上千万元。 “我们平台开放给全球相关合作伙伴，目前已经支持80多个国家用户在线使用，为此我们在北京、上海、香港、新加坡、硅谷等多个城市都布设了服务器。”朱林清告诉记者。

　　毫无疑问，软件方面在不断进步，算法、模型越来越先进，硬件也在升级。“应用者只有不断提高安全意识才能让这个行业健康发展。”tyy说道。

　　行业安全标准正在制定中

　　如何提高用户的隐私安全?《智能物联网安全风险报告》给出了三条建议：厂商从产品设计到生产，应把安全因素放到首位;建立健全设备的持续升级机制;尽快统一安全标准，实现设备间的互相通讯。前两条需要企业进行相关投入，而最后一条则由监管部门进行推动，根据朱林清透露，智能家居联网安全标准已经有眉目了，他们作为行业龙头企业，现在正在配合公安三所参与标准的建立。

　　朱林清对记者表示，用户对安全的需求正倒逼智能硬件厂商做更多的尝试。“面对客户询问，我们口头强调产品安全总是很无力，客户希望我们拿出相关官方证明。”朱林清说道，他们起初跑到公安三所、国家质量监督检验检疫总局希望开具相关官方证明，对方表示缺乏相关标准，无法开具。后来前去咨询的企业越来越多，而市场上智能硬件产品又良莠不齐，于是，监管部门2016年开始推动相关质量标准的建立。不过，由于标准制定的时间较为细致复杂，“正式出台至少还需要一年的时间。” 朱林清表示。