7月5日,2017百度AI开发者大会在国家会议中心举办,百度AI生态的重要战略、最新技术、业务进展和解决方案在大会中首次向5000名开发者集中展示。在全球首个专注于AI开发者的盛会上,j2直播,业内首个智能设备安全检测工具同期亮相。 这款产品由百度安全与DuerOS(百度对话式人工智能操作系统)团队联合开发,面向广大智能设备开发者。它将发挥百度在安全领域多年积累的能力,降低智能设备AI化的开发门槛,提高设备安全性。 初级安全攻防博弈:规模化抢占网络环境下漏洞破解入口 AI正在改变机器与人的交互方式,影响力日益扩大,整个行业亦面临着安全的挑战。 2017年央视3·15晚会上,官方曾曝光人脸识别漏洞,主持人仅凭一张观众手机里的自拍照,经过简单技术处理,成功攻破人脸验证。伴随金融机构远程开户、人脸取现、贷款等场景大规模普及,金融风险不容小觑。 不仅是智能移动设备,以智能门锁、智能摄像头、智能电器为代表的物联网设备,当前存在大量安全漏洞。安全“裸奔”下的物联网设备,不仅会出卖用户隐私,同时令家庭成为黑客遥控的高危作案现场。并非是危言耸听,家庭Wi-Fi已经成为黑客抢占网络环境下漏洞破解入口:黑客使用一个未公开的漏洞获取路由器的最高权限,进而控制了家庭内的智能家居系统,实现任意操纵家庭中的智能插座、智能洗衣机、智能电烤箱,让洗衣机空转,电烤箱甚至可以超出标称的额定温度。 根据国家信息安全漏洞平台最新公开数据显示,截止2017年6月底,共收录3517个移动互联网设备或软件产品漏洞,并通报了多款智能监控设备、路由器和智能移动设备等存在被远程控制高危风险漏洞的安全事件。 毫无疑问,智能设备遭遇网络安全攻陷后,最大风险便是服务端的硬件设备丢失或云端信息被盗。尽管每一个智能硬件在出厂前都被设置有“唯一身份ID”,但开发者若对“开启设备”和“存储数据”没有任何通讯加密或DDoS防御措施的话,黑客通过调试接口直接读取到明文或者直接输出至logcat中,将直接导致用户身份认证凭证、会话令牌等被轻易破解。 攻防博弈升级:劫持并控制智能硬件核心 2015年全球黑客大赛GeekPwn在某次开场项目中,曾演示过“黑客”劫持一架无人机控制权的全过程,这是全球首例完整劫持和控制无人机案例。 要黑掉一架无人机,先要获取硬件设备信息。而无人机的硬件型号及性能信息,主要由负责射频通信的芯片和负责逻辑的主控芯片掌握。当黑客获取主控芯片和射频芯片之间SPI接口的通讯频率,便能控制逻辑追踪并解析出二进制命令和遥控器工作流程,最终实现伪造遥控器和信息覆盖漏洞,从而实现劫持和控制。 劫持并控制智能硬件核心,智能设备安全博弈战正在升级。尽管芯片商、方案商和硬件开发商早已开始布局提升智能硬件“动态博弈”的能力,然而,技术创新和漏洞防御依然面临“囚徒困境”。系统级安全漏洞频现、管理端通讯加密和加速的应用需求,云端webAPI入侵和DDOS攻击越来越成规模化,智能硬件开发者面临着巨大的压力。 种种案例表明,开发一款智能硬件设备,无论是一款可穿戴设备,还是大型物联网IoT部署,安全是首要考虑的问题,防患于未然,进行体系化防御和长期对抗是解决之道。 打赢智能设备安全防御战,首先需要对黑客的攻击方法有深刻的理解。百度安全作为国内最早从事智能硬件安全攻防研究的团队,在智能硬件安全攻防实践中具备丰富的经验,业内首个漏洞检测工具在这个背景下应运而生。开发者点击:即可下载。 (责任编辑:本港台直播) |