IoT黑產驚人：黑掉攝像頭、劫持飛機、操控僵尸車隊、入侵核電站

反派塞隆成功入侵了智能汽車系統，遠程操控其自動駕駛功能，組成了可怖的僵尸車隊：數十輛失控的汽車從天而降；成百輛汽車如同僵尸一般瘋狂碰撞引起連環(huán)爆炸；巨大的沖擊波把跑車拋向天空，電影主角身陷火海之中。

不要以為這些精彩劇情，僅僅存在于電影《速度與激情8》里。在現實生活中，智能汽車、智能家居等智能終端，都有可能被黑客入侵。

萬物互聯的IoT時代，處于大爆發(fā)前夜，但各種安全隱患也如影隨形。

3月28日，由IFAA（互聯網金融身份認證聯盟）主辦的“IFAA 物聯網可信連接研討會”（以下簡稱研討會）在京召開，來自主管部門、學術界、產業(yè)界的參會者，就如何打造聚焦物聯網時代的安全生態(tài)聯盟，進行了深入的探討。

IoT安全黑洞：入侵、劫持、盜竊、勒索

小米的IoT平臺聯網設備已經超過了1億臺；

BAT已經或者即將發(fā)布多款智能音箱產品，天貓精靈已經成為全球第三大智能音箱品牌；

百度剛剛獲得了北京市頒發(fā)的首張自動駕駛測試牌照；阿里巴巴集團和上汽集團聯手出品的首款互聯網汽車榮威RX5成為了炙手可熱的暢銷車；

受益于AI交互技術的成熟，云計算的快速發(fā)展，以及產業(yè)鏈軟硬件企業(yè)的大力推動，IoT有望在2018年迎來大爆發(fā)元年，已經成為產學研界的共識。

IoT大爆發(fā)的同時，嗅覺靈敏、趁虛而入的黑客們也開始出手了。過去十年至今，智能設備遭遇攻擊的案例只增不減。

在研討會上，浙江大學教授、IFAA科研基金評委徐文淵介紹了語音攻擊的案例。

上海交通大學特別研究員、IFAA科研基金獲選人孔令和的發(fā)言，聚焦于RFID如何通過并行識別技術，提升IoT設備身份識別效率。

而西安交通大學副教授、IFAA科研基金獲選人沈超的演講，則把關注點放在工業(yè)互聯網領域。

徐文淵和她的研究團隊通過上千次試驗，利用麥克風收集使用者語音，并將之加載至人耳無法聽到的超聲波上，然后操控語音助手，可以實現對智能手機、智能手表等智能終端的遠程操控。

實驗室將這種攻擊形式，命名為“海豚攻擊”。實驗顯示，語音助手所存在的漏洞，廣泛出現在包括蘋果、三星、華為、谷歌、亞馬遜等品牌中。

在論壇現場，徐文淵播放了一段視頻，極為噪雜的聲場環(huán)境中，徐文淵和其團隊，實現了對蘋果iwatch的系統破解。

不止在實驗室里，在外部的真實世界，智能設備遭遇黑客成功攻擊的案例也普遍存在。

3月18日，Facebook被曝出超過5000萬用戶信息被濫用。

2015年，浙江公司?？低暤闹悄軘z像頭遭到入侵，用戶個人隱私被該攝像頭在公開網絡上現場直播。互聯網上，甚至已經出現了破解攝像頭的專業(yè)軟件和教程，一個完整的黑產鏈條雛形初現。

沈超則對工控網絡脆弱的防控體系表達了擔憂。

2000年，澳大利亞馬盧奇污水處理廠遭遇了非法入侵，在前后三個多月的時間里,總計約100萬升未經處理的污水直接經雨水渠排入了公園、河流等自然水系。

2010年7月，震網病毒攻擊了伊朗布什爾核電站，這種病毒能夠更改離心機中的發(fā)動機轉速，足以摧毀離心機運轉能力且無法修復。措手不及的伊朗政府，不得不在發(fā)電站即將啟動之前，暫時卸載了其核電站的核燃料。而在此前7年，美國的核電站也曾遭遇攻擊。

2015年6月，波蘭航空公司的地面操作系統遭遇黑客攻擊。

對于工業(yè)互聯網領域陸續(xù)發(fā)生的攻擊事件，沈超在演講中表示，工控網絡的漏洞，甚至比傳統互聯網還要嚴重，“工控網絡的“操作系統、技術零件器以及網絡節(jié)點更新速度很慢，甚至基本不更新，處理能力非常有限，很容易被攻擊、控制。航空、電廠、水廠、電網的漏洞都很多，隨便搞一搞就能看出來?！?/p>

沈超和其團隊，在實驗室通過竊聽、探測信息網絡，成功實現了對美國加州一家發(fā)電站的簡單攻擊。

主要專注于智能安防和家居領域的飛天誠信技術總監(jiān)伍妙君，分享主題聚焦于智能家居行業(yè)。伍妙君認為，信息安全有三個核心，“機密性，也就是說數據不泄露；完整性，我的數據不被中間人篡改；可用性，數據實時可用，不會影響中斷和服務，對應到智能家居領域，則被細化為：人的認證；安全鏈路；指令的確認。”但伍妙君同時也特意強調，針對消費者端的智能家居產品，在保證安全之余，用戶體驗始終是第一位的。

8位來自不同領域的嘉賓，發(fā)言既前瞻又務實，初步描繪了IoT身份識別和安全生態(tài)構建的草圖。盡快構建與IoT時代適配的全方位的安全生態(tài)體系，成為了參會人員的共識。

IFAA助力，搭建IoT安全生態(tài)聯盟

面對洶洶而來的IoT安全事故，與會的產學研人士達成了共識，必須構建一套融合產業(yè)鏈上下游力量的全方位的安全風控體系，合力狙擊虎視眈眈的黑客軍團。

“與智能手機行業(yè)不同，整個IoT領域相當碎片化、多元化。IoT行業(yè)有幾百家芯片廠商，在這上面可能有成千上萬的整機廠商，再往上有幾十萬上百萬的軟件開發(fā)者”，全球領先的半導體知識產權 (IP) 提供商ARM公司的資深市場經理王駿超說，“IoT的安全體系，需要芯片廠商、安全廠商、智能終端、服務商等，一塊來搭建。單獨一家企業(yè)的力量遠遠不夠?！?/p>

在IoT大爆發(fā)前夜，亟需類似IFAA這樣的聯盟組織，集合全產業(yè)鏈上下游企業(yè)的力量，共筑適配IoT時代的安全生態(tài)聯盟。

作為國內主流的身份識別技術行業(yè)標準組織，IFAA目前已經匯集了超過160家全產業(yè)鏈不同角色的會員單位，覆蓋設備廠商、芯片廠商、算法廠商、安全廠商、標準機構、檢測機構等等產業(yè)鏈上下游單位。

通過技術合作與標準制定，IFAA對外輸出的“身份識別技術行業(yè)解決方案”，充分保障了從芯片層到硬件層、應用層等全鏈路的協議及傳輸安全，降低了行業(yè)開發(fā)及適配的成本，有助于支持硬件及應用廠商的快速發(fā)展，目前，已有超過36個品牌、230多款機型使用了IFAA提供的解決方案。

ARM于2016年1月加入了IFAA聯盟，王駿超表示，“我們非常關注服務商對底層安全架構的需求，加入IFAA之后，我們能夠更深入的了解服務商對IP的需求，我們知道該往哪個方向做，希望能跟產業(yè)鏈一起推廣安全架構，分擔安全責任?！?/p>

作為學術界代表，徐文淵介紹完語音攻擊的兩個案例后，給IFAA聯盟提出了建議，“希望在考慮制訂標準時，能把相關問題考慮進去?！?/p>

中國電子技術標準化研究院物聯網研究中心、物聯網標準與應用工業(yè)和信息化部重點實驗室主任王文峰，強調了構建物聯網技術與標準化的重要性。他作為指導部門的代表，點贊了IFAA聯盟的活力和價值，并對IFAA聯盟提出了建議，“搭建一個活躍的好聯盟很不容易。一個好的聯盟，第一應該始終堅持初心和使命，第二，應該以聯盟成員利益為先，第三，應該構建共贏的利益生態(tài)體系?！?/p>

據悉，IFAA聯盟正在調研成員企業(yè)的需求，籌備建立IoT工作組。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。