有没有想过黑客正在通过你使用的智能家居产品收集、传递甚至分析你的隐私?他们可以只用一部电脑就知道你房间内插座、灯或者其它设备的状态,甚至可以发出指令操控这些设备。“安全”已经成了物联网行业发展的必修课。
如何防止物联网黑客攻击?在软件发布之前就要确保其安全。新思科技认为这并不难。但为什么并没有许多物联网设备制造商会这么做呢?
首先,我们参考一下近期发生的几起物联网(IoT)安全事件:
美国国家广播公司新闻报道称,智能家居技术的“狂热”用户向电视台爆料,他听到婴儿室有一些噪音,检查后发现安装在里面的Nest安全摄像头发出了“深沉的男声”。网络入侵者还控制了房间内的恒温器,将温度设定为90华氏度。
挪威消费者委员会曾经分析了四款儿童可穿戴式手机/智能手表。这些设备是为了方便让父母与孩子交流并定位他们的位置。
经过分析,消费者委员会报告了这些产品的“关键缺陷”,这可能让黑客“控制应用程序,从而获得孩童的实时和历史位置以及个人信息”。黑客甚至可以“在父母不知情的情况下直接联系孩子”。
来自巴西伯南布哥联邦大学和美国密歇根大学的研究人员研究了32款智能手机应用程序。亚马逊平台上销售的96款畅销的Wi-Fi和支持蓝牙的设备都有安装这些应用程序。
他们发现“31%的应用程序不使用任何加密以保护设备应用程序通信;19%的应用程序使用硬编码密钥。很大一部分应用程序(40-60%)使用本地通信或本地广播通信,因此提供了利用加密或使用硬编码加密密钥的攻击路径。“
物联网应用已经开始渗入我们的生活,并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题:制造商倾向于在违规之后,或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。
同时,新思科技首席顾问Larry Trowell认为指出: “随着越来越多的专业人士加入物联网行业,进行安全测试的设备的比率正在上升。而且安全测试工具也越来越精细。”
尽管如此,物联网安全事件现在仍然层出不穷。一些专家呼吁政府对物联网安全进行监管。
Larry Trowell指出政府监管的主要问题是技术发展速度比立法要快。他说:“物联网的每个元素都会产生新的技术,而且在大多数情况下,这些技术还不够安全。”
新思科技软件质量与安全部门高级安全架构师杨国梁指出:“设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素。同时,物联网行业也需要重视开源代码的安全使用。”
物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码,而忽略了使用的开源代码,导致黑客有机可乘。例如,不久前,黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了它们的JavaScript文件,进而在超过4600个网站上嵌入恶意代码。
根据新思科技发布的《2019年开源安全和风险分析》(OSSRA)报告,2018年物联网行业被审计代码库中使用了开源代码的占比为91%,而存在许可证冲突的被审代码库的百分比为72%。
杨国梁强调:“当然,我们不是说企业应该停止使用开源,而是应该积极主动地去进行开源管理,从一开始就将安全内置在物联网中。”
那怎么能正确地执行IoT安全方案?
Larry Trowell归结为:重视。
他补充说:“人们重视驾驶安全,配置了安全带、车架、安全气囊,提升汽车的安全性。大家注意到这些问题,意识到重要性,所以会要求有所改变。往往这些改变先发生在顶级车型中,然后才强制配置到普通车辆。”
他说:“安全专业人员要解释为什么这些事情很重要,以及如何解决这些问题。如果我们只做这两项任务中的一项,那么也不会取得效果。”
好文章,需要你的鼓励
LibreOffice 25.8版本以"更智能、更快速、更可靠"为特色正式发布。新版本在多个方面实现性能优化,包括启动速度、文档滚动和文件打开速度的显著提升。该版本增强了对微软Office文档格式的兼容性,改进了连字符处理和字体兼容性,Calc表格组件新增十多个函数以更好支持Excel文件导入。值得注意的是,LibreOffice 25.8首次支持PDF 2.0格式导出,并具备PDF数字加密和签名功能。新版本提高了系统要求,不再支持Windows 7/8系列和32位系统。
谷歌DeepMind团队开发出ViNT视觉导航系统,让机器人像人类一样仅通过"看"就能在陌生环境中导航。该系统模仿ChatGPT的学习方式,通过分析600万个导航轨迹掌握通用导航能力,在未知环境中的成功率达87%。这一突破将推动物流配送、家庭服务、搜救等领域的机器人应用发展。
微软AI首席执行官苏莱曼发文称,研究AI福利和意识"既不成熟又危险",认为这会加剧人类对AI的不健康依赖。而Anthropic、OpenAI等公司正积极研究AI意识问题,招聘相关研究人员。业界对AI是否会产生主观体验及其权利问题分歧严重。前OpenAI员工认为可以同时关注多个问题,善待AI模型成本低且有益。随着AI系统改进,关于AI权利和意识的辩论预计将升温。
谷歌DeepMind推出AlphaFold3,革命性提升分子结构预测能力。该AI模型采用创新扩散网络架构,能够精确预测蛋白质与DNA、RNA、药物等分子的相互作用,准确率比传统方法提高50%以上。这一突破将显著加速新药开发,推动基础科学研究,并通过免费开放服务促进全球科研合作,标志着生命科学研究进入AI驱动的新时代。