近几年,在315晚会上科技和互联网的内容一直在攀升。而今年,在国内概念萌生2 - 3年的智能硬件也上了315。对大部分公司来说,登上315不是个好消息;但对智能硬件圈来说,这可能是一个不坏的消息。
这次晚会,一共曝光了6类智能硬件或者技术相关的产品,包括无人机、智能楼宇、智能家居、安防摄像头、刷卡POS机以及智能汽车。
首先需要声明的是,近几年中315晚会的“安全技术演示”是不同于其他部分的晚会内容的。“安全技术演示”偏向于风险预警,而其他的内容更接近“消费陷阱或者消费风险的揭露”。两者的差距在于你可能会用手机上的XX外卖叫回一份黑作坊的快餐,但给你一台同样的笔记本,99%的人是没法劫持眼前的一架无人机的。
但安全技术演示本身具有极好的话题性和前瞻性,这几年已经逐渐成为晚会的一档保留节目。
为什么说晚会演示的技术风险是大部分普通人无法重现的?因为参与演示的都不是普通人。比如2015年315议题之公共WiFi不安全,现场演示的工程师是360 Unicorn Team 杨卿,360无线攻防实验室掌门人。比如今年智能硬件安全,演示的工程师之一王琦,则是Keen Team的负责人。Keen是国内顶尖的信息安全研究团队之一。
事实上,晚会当天所有的智能硬件漏洞,白帽子圈子对它们应该也不会陌生。从劫持无人机、盗刷POS机到操控汽车,这在去年国内的几场安全大会上都有展示。一个圈内通行的惯例是,白帽子在发现漏洞后很快会将漏洞详情告知给厂商(这就是他们为什么叫“白帽子”的原因),甚至在公开演示之前都会与厂商提前招呼(为了防止意外公开被人恶意利用)。
本次晚会被披露的厂商之一大疆也在会后很快回应:在数月前即通过固件升级的方式对这一潜在安全漏洞予以解决。正常情况下,当晚的其他漏洞也应该已经或者相继会被修复。
这样,315晚会所表达的信息并不是“不要消费不安全的智能硬件”,而是“预防漏洞可能衍生的黑产”。
(乌云平台上,一个漏洞被披露的流程。/ www.wooyun.org)
我们再来听听从业者们怎么说。
朱智在2013年创立了芝麻科技,芝麻科技是一家采集消费者数据(大部分是基于商用WiFi),为客户提供大数据服务的供应商。其所在的商用WiFi领域,去年被央视点名。
他的看法是“质量和黑客攻击是两码事;隐私和安全也是两码事”。比如去年所曝光的WiFi场景,并不是无线WiFi安全问题,而是在网络的后层进行分析。WiFi在其中仅仅是信息的传递者,但一个app的内容和数据不做加密,在网络中暴露,这是app的安全问题。
星盘科技旗下的产品微插座在315晚会中短暂“露脸”,它的创始人易虎在接听记者电话时并没有表现出焦虑。事实上,整个智能家居的盘量并没有大到成为315的“重要打击对象”。
易虎告诉我们,他们内部刚刚重新梳理了“漏洞”事件,这家成立2年的公司已经配备专门的安全人员。
中国鹰派联盟网站创始人,老牌“黑客”万涛如今创立了一个安全实验室——IDF实验室,多数时候万涛都在研究智能硬件的安全。在万涛看来,智能硬件公司对安全的投入依然不足,远远没有Web安全领域成熟。
来自白帽子社区乌云平台的官方人员告诉我们,“从去年开始智能硬件方面了的安全问题明显变多了”。仅在近两个月,白帽子们就向社区提交了包括控客插座、Ticwatch、上海某车辆、美的、丰巢货柜等多个智能硬件相关厂商的漏洞。
这几年,国内除了他们,在360、腾讯和阿里,都已经建立专门的实验室或者独立团队投入精力在智能硬件的安全研究,今年同在315参与演示的长亭科技也是这样一支。
315说起的“智能硬件不安全”,更像是一场关于攻防的科技秀。
它向公众展示了国内比较顶尖的安防团队到了什么水平(但公众未必能理解),告警智能硬件团队“要加大安全投入”,并且一定程度上认可了智能硬件在消费领域的成熟。
题图来自:drone-forum.de
雷锋网原创文章,未经授权禁止转载。详情见转载须知。