智能时代,安全问题面临新威胁

2017-11-29 03:53陶春
中国教育网络 2017年10期
关键词:漏洞蓝牙联网

智能时代,安全问题面临新威胁

进入信息新时代,除了人工智能以外,最近,有两个话题很活跃。一是随着5G时代的到来,物联网已经和我们越来越近。二是苹果新品发布iPhone X,新功能“Face ID”让人们惊叹刷脸时代的来临。

期间,随着物联网、生物识别信息等新技术的兴起和由此带来的产业变革,信息安全问题日益凸显,信息安全正在告别传统的病毒感染、网站被黑及资源滥用等阶段,迈进了一个复杂多元、综合交互的新时期。一起看看国外媒体如何看待这个问题。

刷脸时代,不得不面对的安全问题

对于果粉来说,今年秋季苹果的新品发布会是值得期待的,这次发布的iPhone X采用几乎覆盖整个正面的全面屏,而且没有了Home键,解锁手机就靠面部识别。苹果对iPhone X使用的面部识别取名叫“Face ID”,在开锁时用户只需要看着手机,就能实现“刷脸”解锁和支付。

对此变化,质疑声随之而来。据外媒报道,一位来自美国参议院的隐私部门官员表示,希望苹果公司能够对这一技术进行详细的说明,解释它究竟是怎样工作的。其中最重要的一个问题就是,苹果是否会通过面容 ID 功能来收集用户的面部信息,造成数据的滥用。

苹果软件部门高级副总裁Craig Federighi 在接受TechCrunch 采访时表示:“我们不会收集用户的数据。在使用面容ID 功能时,一切的信息数据都会保留在用户自己的设备之中,我们不会把它们上传到云端进行更深度的信息识别训练。”

同时,苹果方面也对前面那位参议员的要求作出了书面回应:通过TrueDepth摄像系统和最新的A11 仿生芯片,苹果的面容ID 功能可以实现安全而直接的面部识别,对用户的面部数据进行精准的识别和匹配。一方面,面容ID 数据永远不会离开用户的设备,它们会由“安全区域”进行加密和保护。另一方面,目前,已经对来自不同的国家和地区、不同种族文化的用户进行了面容ID 功能的测试。在对超过10 亿张人像进行神经网络方面的深度学习之后,可以很好地防范各种欺诈行为。

尽管如此,在面对新事物的时候,担忧和质疑也是难免,网友的评论一浪接一浪。“以后朋友让我帮看看这件衣服怎么样,我一瞅屏幕,支付成功了”“半夜老婆趁我睡觉解锁手机怎么办”,甚至,为防止晚上睡觉被盗刷,一款售价28元的淘宝防面部识别解锁面罩已经在朋友圈流传。

人们的担忧虽然有调侃的成分,然而,却并不是杞人忧天。指纹、虹膜、面部识别等生物信息具备唯一性,它们被盗用可能比传统的密码盗号方式影响更大。所以,不仅仅网友们热衷讨论此事,专家也早已提出他们的担忧。

曾经,在USENIX 安全论坛上,来自北卡罗莱纳大学的研究人员展示了他们的3D 脸部建模系统。使用这套系统,研究者们可以直接从 Facebook、 Google + 等社交网络上获取任何人的照片素材,并利用其在 VR 环境中建立 3D 模型,对面部识别系统进行解锁。

在这次试验中,研究人员共测试了 5种来自 iOS 与 Android 平台上的刷脸解锁软件,选取了 20 名志愿者并在其社交网络上挑选 3 到 27 张不等的照片用于建模。最终结果显示,5 个产品中只有 1 个破解效果不理想,其余 4 个则有 55% 至 85%的解锁率。

当时,专家指出,一般来说,防骗性能比较差的面部识别,用普通照片与视频就可破解。研究者首先会使用软件分析社交网络上的照片的面部关键特征,利用标记的关键点进行建模。经过一系列的努力,再把模型放入手机端的虚拟现实系统中,可以让头部模型自然地活动,并展示深度信息。然后,相对弱的刷脸解锁软件就会把这个手机屏幕上的 3D 模型误认为是真人。不过,密歇根州立大学教授 Anil Jain表示:先进的传感器和识别机制可以解决这个问题。比如,若采用人脸的红外信号,这种 VR 3D 模型显然很难复制。所以,当iPhone X开始大规模使用时,Face ID技术是否足够安全和便捷目前还不得而知。但是,不容置疑的是,随着刷脸时代的到来,需要接受的考验第一关就是安全,并将迎来越来越先进的刷脸设备,以保护我们的信息安全。

物联网时代,蓝牙传输的严重漏洞

美国时间 9 月 12 日,物联网安全初创公司 Armis 在官网上公布了一种新型物联网攻击手段:BlueBorne。几乎所有联网设备都可能受其威胁。只要目标设备拥有蓝牙功能,BlueBorne 攻击手段就不需要目标用户进行任何交互操作,不需要任何的前提条件或配置,就能对目标设备进行空中攻击。而且,支持蓝牙功能的设备会不断地从周围搜寻可接入的连接,而不仅仅是那些已经配对的连接。

“这些沉默式的攻击对于传统的安全控制和程序是不可见的,公司不会在环境中监控这些类型的设备到设备的连接,所以他们看不到这些攻击或阻止他们。”Armis CEO Yevgeny Dibrov在一份声明中表示,“这项研究说明了我们在这个新的关联时代面临的各种威胁。”

据DeepTech报道,BlueBorne是利用 8 个蓝牙传输协议漏洞(Bluetooth)对设备进行空中攻击和传播的。Armis 这次披露的漏洞能影响运行在 Android、Linux、Windows 操作系统上的所有设备,还包括 IOS 10 之前版本的所有设备。这意味着几乎所有运行在这些操作系统上的电脑、移动设备、智能电视或其他物联网设备都面临着这 8 个漏洞中至少一个的威胁。

“这些沉默式的攻击对于传统的安全控制和程序是不可见的,公司不会在环境中监控这些类型的设备到设备的连接,所以他们看不到这些攻击或阻止他们。”

——Armis CEO Yevgeny Dibrov

Armis 的研究人员还担心,这次发现的漏洞只是冰山一角,蓝牙传输协议里还存在着大量尚未被发现的漏洞。建议 Windows 用户和 Linux 用户查看最新最准确的安全更新信息。安卓用户可以去Google Play 上下载 Armis 开发的 BlueBorne Scanner 应用。IOS 用户应该将系统版本升级到 IOS 10。

不仅如此,包括许多蓝牙智能锁也都存在安全缺陷,会被非法用户打开,但问题并不出在蓝牙标准本身,而出在它们实施蓝牙标准的方式上。

去年,据TomsGuide网站报道,一名安全研究人员在DEF CON黑客会议上表示,许多蓝牙LE智能锁都会被攻破,被非法用户打开,但相关厂商似乎无意采取什么措施。

电气工程师安东尼·罗斯(Anthony Rose)表示,在他及其同事本·拉姆齐(Ben Ramsey)测试的16款蓝牙智能锁中,在遭到无线攻击时12款会被打开。罗斯表示,“我们在蓝牙智能锁中发现了安全缺陷,然后与相关厂商进行了联系,厂商似乎对此无动于衷。我们与12家厂商进行了接洽,只有一家有回应,‘我们知道这是个问题,但我们不会修正它。’”

问题不在于蓝牙LE协议本身,而在于这些智能锁实施蓝牙通信的方式,或配套的智能手机应用。例如,4款智能锁以明文方式向智能手机传输用户密码,使得任何用户都可以利用价值100美元(约合人民币666元)的蓝牙嗅探器方便地截取密码。

所以,正如DeepTech报道的那样,“传统的安全措施只能阻止通过互联网 IP连接进行传播的黑客攻击。随着物联网设备数量的不断增长,我们迫切需要新的解决方案来应对这种新型物联网空中攻击手段,特别是那些要将内网进行物理隔绝的机构。”

(本文根据TechCrunch、DeepTech、TomsGuide等汇编;整理/陶春)

猜你喜欢
漏洞蓝牙联网
漏洞
蓝牙音箱的直线之美
“身联网”等五则
《物联网技术》简介
《物联网技术》简介
简单、易用,可玩性强Q AcousticsBT3蓝牙音箱
抢占物联网
适合自己的才是最好的 德生(TECSUN) BT-50蓝牙耳机放大器
三明:“两票制”堵住加价漏洞
漏洞在哪儿