智能硬件为黑客提供巨大“机会” 标准或明年出台

　　智能硬件为黑客提供巨大“机会”

　　开发得起智能硬件 却建不起“安全墙”

　　《IT时报》独家获悉：智能家居联网的标准或明年出台

　　■IT时报记者 戚夜云

　　妻女失踪，身为法医的丈夫在家里提取到一枚指纹，为了逼警察找出指纹归属者，法医辞职后四处作案，并将指纹留在犯罪现场。这是前段时间网剧《无证之罪》的故事设定。虽然相同的事情发生在自己身上的概率极低，但是你指纹被窃取的概率，随着智能硬件的广泛应用大大提高。据国家信息安全漏洞共享平台（CNVD）统计，2016 年全球物联网设备共出现 1117 个漏洞。遗憾的是各大硬件生产厂商并未能及时将漏洞修补。

　　近日，《IT时报》记者独家获悉，处在野蛮增长的智能硬件市场，将迎来由公安部第三研究所（简称公安三所）牵头制定的智能家居联网安全标准。

　　智能硬件安全隐患过半

　　万物互联时代，给人们的生活带来了极大的便利，人脸支付、智能指纹锁、智能汽车等等广泛的市场需求，带来了海量的智能终端，也带来了海量的硬件安全隐患。在9月份的第四届国家网络安全宣传周上，极棒实验室联合上海社会科学院互联网研究中心发布了《智能物联网安全风险报告》，通过统计数据发现，新型智能安全威胁比重从2014年的40%上升至如今的58%。

　　刚刚过去的2017极棒嘉年华大赛上，毕业于浙江大学计算机系的90后极客tyy利用设备漏洞，仅用了150秒就成功破解了使用人脸识别的门禁系统，她告诉《IT时报》记者，所有智能硬件设备都有可能存在安全问题，人脸识别只是运行在设备上的一个应用，所以也不例外。从技术角度来说，破解并不难。

　　一款智能硬件通常由算法、基础设施、应用系统三大板块组成，在万物互联时代，这三大板块均面临着严峻的安全风险：首先是算法层面，《IT时报》此前报道过由于指纹芯片厂商算法存在缺陷，导致手机Home键出现裂纹后人人可解；其次是基础设施，也就是针对各种框架、云服务的攻击，脆弱的云端是智能家居被黑之关键，今年3·15晚会曝光的远程启动用户家中智能摄像头进行偷拍便是典型案例；应用系统层面的漏洞最为可怕，企业掌握收集用户大量信息，被泄露撞库后，影响大量用户的财产安全，去年京东就曾被爆出12G的用户信息遭到泄露，并在黑市被公开出售。

　　更严重的案例是，维基解密今年8月公布的文章显示，美国中央情报局曾通过生物识别设备供应商掌握了印度10多亿人的生物识别数据，包括照片、指纹、虹膜扫描，虽无法预见美国中央情报局收集此信息的用途，但业内人士的共识是，这项数据泄露已经涉及国家战略层面的安全问题。

　　不安全的智能硬件与生物识别搭载在一起，使风险系数大增，不仅仅是因为这三大层面都容易产生数据泄露，更是因为生物特征信息唯一且不可更改，一旦发生泄露被人利用，作为其身份认证的后果不堪设想。同样是极棒大赛上，黑客利用个人正面脸部图像，简单修图后就能解锁主人手机。

　　《智能物联网安全风险报告》表示，智能设备的安全威胁正经历着攻击对象向新型智能设备扩展、攻击主要集中在终端设备、攻击手段日趋多样化等多种趋势，报告认为，与传统的硬件相比，这些新型智能设备的出现为攻击者提供了巨大“机会”。

　　安全投入成本是项目开发两倍以上

　　然而，智能产品厂商对安全重视程度远远不够。

　　极棒大赛举办四年以来，每年有近一半的厂商未曾对极棒的安全预警做出积极回应。而未回应的原因，在智能家居企业移康智能战略发展部总监朱林清看来，除了安全意识不够以外，更多因为成本。

　　“在单机硬件模具等成本为200万元的情况下，后台系统的研发、安全投入是单机的3-5倍。”朱林清表示，提高产品的安全性，一方面要增加前期研发人力，专注于安全保障，另一方面，单机成本也会提高。“不同的安全级别对芯片和性能都是有高要求的，想要安全性更高，产品的成本也就水涨船高。”他表示，尤其是规模小的智能硬件厂商，很难承担得起这样的成本投入。

　　贝尔塞克（BIOSEC）是一家做指纹智能锁具的模组生产商，上半年，他们刚刚投入了几百万资金，用以与阿里的安全架构合作。“我们智能锁受到云端的网络攻击比较多，所以技术上都是通过本地比对实现主要功能，为了减少安全风险，我们并不像其他智能锁厂商一样提供远程开门的相关功能，”贝尔塞克的董事长刘君向《IT时报》记者表示，他们是传统的硬件厂商，对网络安全涉及不够深入，所以在产品设计上十分谨慎。最近，因为阿里巴巴、华为等一些大的企业推出了针对物联网的安全服务，他们才考虑开始在云端集成更多的功能。

　　作为指纹门锁的龙头老大，刘君坦承与中小企业相比，贝尔塞克在安全方面投入拥有绝对的优势。除了资金较为充裕外，“我们市场份额比较大，客户多，几百万元的投入分摊到百万模组的出货量上，单个模组成本只提高几毛钱，客户也能接受。”

　　与贝尔塞克嫁接BAT的安全服务不同，既做硬件又做平台的移康智能，因多款产品支持远程控制，对安全级别要求较高，他们在后台云服务器上的投入已经有上千万元。 “我们平台开放给全球相关合作伙伴，目前已经支持80多个国家用户在线使用，为此我们在北京、上海、香港、新加坡、硅谷等多个城市都布设了服务器。”朱林清告诉记者。

　　毫无疑问，软件方面在不断进步，算法、模型越来越先进，硬件也在升级。“应用者只有不断提高安全意识才能让这个行业健康发展。”tyy说道。

　　行业安全标准正在制定中

　　如何提高用户的隐私安全？《智能物联网安全风险报告》给出了三条建议：厂商从产品设计到生产，应把安全因素放到首位；建立健全设备的持续升级机制；尽快统一安全标准，实现设备间的互相通讯。前两条需要企业进行相关投入，而最后一条则由监管部门进行推动，根据朱林清透露，智能家居联网安全标准已经有眉目了，他们作为行业龙头企业，现在正在配合公安三所参与标准的建立。

　　朱林清对记者表示，用户对安全的需求正倒逼智能硬件厂商做更多的尝试。“面对客户询问，我们口头强调产品安全总是很无力，客户希望我们拿出相关官方证明。”朱林清说道，他们起初跑到公安三所、国家质量监督检验检疫总局希望开具相关官方证明，对方表示缺乏相关标准，无法开具。后来前去咨询的企业越来越多，而市场上智能硬件产品又良莠不齐，于是，监管部门2016年开始推动相关质量标准的建立。不过，由于标准制定的时间较为细致复杂，“正式出台至少还需要一年的时间。” 朱林清表示。