如今,从智能家电到其他智能设备的数据都可以用来了解人们的生活方式或日常例程。为了保护隐私,大多数人尽量回避智能相机等可以窥视个人隐私的小玩意儿的使用。但是,日常生活中,人们为了方便,通常选择使用各种智能家电,如烤箱、洗衣机,且使用程序从一而终。为了避免麻烦,他们一般不会将软件程序进行更新。随着时间的推移,黑客可以从这些设备软件中逐渐找出漏洞,对设备生产公司缺乏防御和保护的只能装置和未经更新的安全软件进行攻击。
事件 黑客公布特斯拉系统漏洞
在8月1日至6日举行的美国拉斯维加斯黑帽信息安全大会上,有两名研究人员公布了特斯拉Model S系统存在的六个重大安全漏洞,并通过其中一个漏洞实现对车辆的控制,以及在低速行驶状态下迫使其熄火。
8月7日,特斯拉向记者确认了Model S被入侵和操控的事实:“我们注意到了一些媒体关于Lookout 信息安全公司破解特斯拉的一些报道。”
当天,特斯拉紧急发布六条回应,其中一条否认特斯拉被远程入侵,而是通过物理接触:“Model S 并不是被远程入侵的,Lookout研究团队花费了很多时间研究Model S可入侵的漏洞,并且是在Model S真车上进行的漏洞测试(即物理接触,如接入汽车的电路),并不是采用远程攻击的方式。”
特斯拉素以智能汽车着称,一度定位为一家科技公司而非汽车公司。但汽车的安全性要求非常高,直接关系人的生命安全。智能科技与汽车的结合,不像手机、电视机等其他电子产品一样环境宽松。
特斯拉车辆系统被网络安全人员攻破,去年在国内曝光的也有两次,分别被360团队和白帽黑客KeenTeam破解,并远程控制车辆。特斯拉当时做出了回应。
“绝大多数系统都有漏洞,理论上都可以被攻破。”一家IT公司的软件工程师对记者称。这次特斯拉被远程控制,不是开始也不是结束。
分析 系统漏洞无法根治 智能汽车尚处灰度空间
特斯拉的科技范,就是将汽车更大范围地IT化,娱乐系统和操控系统都大量利用IT系统优化,是目前市面上IT化最广的汽车。
Model S其实就像一个智能移动终端;它采用全电子控制的方式,是当今世界唯一一辆可以通过远程系统升级改变、提升整车性能的汽车。这被特斯拉称为空中升级。特斯拉车内设置有感应器和芯片,它可以做到完整地去升级一些新的功能。
“它更像一个智能的硬件,好像iPhone,不需要换一个新的手机,但是操作系统却在不断升级,是同样一个道理。”特斯拉的一位内部人士称。
不过,自特斯拉诞生起,业内一直怀疑汽车用IT系统控制会导致不安全,因为它容易遭受黑客的攻击。
担心很快就被证实。2014年7月15日,360公司称其发现了特斯拉Model S型汽车的应用程序流程存在设计缺陷,攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作。
特斯拉承认了被360破解的事实,紧急做出回应称,将致力于与安全研究人员共同合作,并采取快速行动进行应对和修复。
但三个月后,白帽黑客KeenTeam举办的GeekPwn智能设备挑战赛再次宣布破解特斯拉,现场演示了对行驶状态中汽车的操控,由前行转为倒车,实现无人驾驶。
影响 安全已成为物联网头号“拦路虎”
美国知名的调研、科技和业务咨询公司Harbor Research公司调查显示,安全已成为开发商通过物联网应用盈利的两大挑战。报告还指出,许多开发商认为其自身缺乏技能和资源来实现对物联网的预期。
该公司对670家来自美国、英国、德国、法国、瑞典、荷兰和印度等的应用开发商进行了相关调查。结果发现,开发商想要通过物联网应用盈利的两大挑战分别是保护数据隐私不被黑客入侵以及个人隐私保护。调查称,相信政府或行业组织能够帮助其克服上述两大困难的开发商分别只占8%和7%。相反,多数开发商相信商业公司和开源社区能够帮助它们应对上述挑战。除了信息安全行业长久以来根深蒂固的观念以外,还由于经济原因,互联网应用作为商品在还未发现其潜在的安全缺陷前就已被迫不及待地投入市场。但对于政府出台的规定是否会对物联网应用开发产生积极作用,认同和不认同的比例相当,分别为39%和34%。
报告还指出,许多应用开发商认为他们并没有将技术和技能完美结合。近半数参与调查的开发商称,他们没有或者并不确定自身是否有满足顾客预期合适的技术,另外51%则认为自身具备了必要的技能和资源。此外,45%的开发商称,他们并不具有收集、分析和使用物联网数据的技能。