制图/李晓军
物联网连接的还是互联网,但是连接的设备发生了变化,各种穿戴设备、家电甚至汽车都可以连接互联网。物联网使得万物互联,众多生活中离不开的“物”都连接到了互联网。对绝大多数人来说,互联网的安全风险最多只是钱的损失,而物联网的安全风险远超于此,你身边的“物”随时可能变成定时炸弹。
物联网影响人们生活的方方面面,物联网安全问题直接关系到人们的吃穿住行。物联网安全问题涉及到很多专业知识,普通用户绝大部分都不懂,所以物联网安全问题的解决,很难寄希望于靠提升用户的防范意识和重视程度,更多要靠相关智能硬件设备厂商建立充分的安全防范意识。同时,国家对于物联网应当制定一些具体的安全标准
□法制网记者 杜晓 □法制网实习生 韩婕
物联网,最近频频出现在公众视野。
物联网,这一曾经比较陌生的概念,随着技术发展,有了更简单的理解——将各种物理设备与互联网连接,成为网络的一个终端,这个设备可能是你的电脑摄像头,也可能是你的路由器,还有可能是心脏病患者的起搏器。
近日,2016物联网开发者大会在北京举行。在此前不久,普华永道也发布了《2017年全球信息安全状况调查报告》,这份报告称,随着物联网的快速发展、对物联网产品安全意识的缺失,导致消费者技术,包括网络摄像头、家庭自动化,成为极易受到攻击的对象。
根据业内人士的分析,物联网在给人们带来全新智能体验、新型生活方式的同时,也面临着越来越多的安全风险。如何放心使用物联网?《法制日报》记者采访了业内专家。
多个层面存在安全隐患
目前,物联网安全形势究竟如何?
近日,360董事长周鸿祎在接受媒体采访时称,“今年最关心的是互联网安全问题。IOT(物联网)会是下一个风口,但从互联网到IOT时代,网络安全形势将更加严峻”。
“物联网有很多层次。之所以称为物联网,就是因为能把物理设备与互联网相连接。比如说感知器械。由于很多感知器械很容易被控制,所以对其在安全方面的要求比较多也比较重要。这是物联网安全最为显性的一个方面。除此之外,因为物联网的设备比较多,还面临认证问题。现在的物联网投入应用后,设备特别多、数量特别大,导致管理起来比较困难,尤其是在身份认证等方面。物联网分为很多层次,涉及到感知层、网络层、系统层、应用层,还有管理层。我们通常提到物联网,主要是在感知层谈得比较多,因为这是物联网的特色。但是,物联网还有其他层次,比如说把信息感知到网络当中,还要传输、处理,之后还要应用。”中国科学院信息工程研究所信息安全国家重点实验室主任林东岱说,感知层获取数据、网络层传输数据、应用层或服务层使用数据。
阿里云安全专家易鑫告诉记者,从物联网的一般架构来看,物联网的安全会涉及到物联网架构的每个层面,包括设备端、网络通讯、服务端应用和移动APP。
据易鑫介绍,设备端的安全问题包括,设备暴露硬件调试接口,可以被“黑客”利用了解设备运行机制和更新固件;固件中固化存储密码、密钥等敏感信息,导致设备可能被远程控制;固件升级更新机制实现不安全,可能被劫持和升级恶意固件;固件中保留的调试命令接口,导致设备可以被远程访问和调试。网络通讯层面也有安全隐患。如设备和云端以及移动应用端通信传输时,控制命令和采集的数据没有加密,攻击者通过监听获取敏感数据甚至劫持控制设备端;设备没有在整个通信会话过程使用验证凭据或者唯一标识符,允许攻击者未授权访问;存在重放攻击,设备没有重放保护,允许攻击者重用之前截获的消息,实现未授权访问以及执行恶意操作。
“服务端应用存在的安全问题主要有,云端服务网络层可能被DDoS攻击,导致物联网服务不可用;云端服务应用层可能存在漏洞,导致被‘黑客’入侵,威胁业务数据安全。”易鑫说,除此之外,移动APP也可能有安全问题,如APP本身没有进行加固,导致APP可以被逆向查看源代码,从而使得APP的业务逻辑暴露;APP中可能存储加密密钥,被逆向后结合源代码可以直接修改和伪造控制指令或数据,导致设备和服务端被攻击;APP在手机本地存储和遗留了敏感信息,可能被手机上的其他恶意程序所利用。