離你最近也傷你最深,警惕智慧音箱安全風險
談到智慧音箱,想必年輕的朋友們不會陌生,這個近兩年搶佔智慧裝置最熱的關鍵詞之一,早已被各位“玩主”爛熟於心。如今智慧裝置已經逐漸融入了我們的生活,而智慧音箱除了能代替傳統藍芽音箱欣賞音樂,還能便捷的以“語音”形式上網以及和使用者之間實現“互動”,更為令人興奮地是它可以對全屋智慧家電進行語音控制,令人大呼過癮。
目前市面上人們能看到率先進入智慧音箱市場的亞馬遜、谷歌、蘋果這些科技巨頭,也能看到迅速迎頭趕上的百度、阿里、小米等國內品牌。智慧音箱的價格具有很強的包容性,從百元到千元不等,並且它具有的多功能性和“可玩性”在市場得到很好的反響。但在萬物互聯的時代背景下,智慧裝置都會存在相應的安全漏洞,只是目前大家對於智慧裝置漏洞的風險普及還比較空白。這個正走在科技界前沿的智慧裝置寵兒,有可能成為離你最近卻又傷你最深的一個。
智慧音箱遇安全風險,暴露行業安全隱患
北京時間8月13日,在在拉斯維加斯舉行的全球黑客大會DEFCON上,技術人員展示了全世界暢銷的智慧音箱——亞馬遜智慧音箱Amazon Echo被破解的全過程,全程僅需26秒。通過控制智慧音箱,不僅能夠遠端控制進行錄音,還能夠傳送錄音檔案。亞馬遜智慧音箱在美國市場佔有率達到70%,由於市場的普及性,亞馬遜為這款智慧裝置設定了高安全係數。顯然,一直處在安全研究人員的“高難度黑名單”上的亞馬遜智慧裝置也難以阻擋住黑客的破解。
在DEFCON全球黑客大會的前一個月,2018創響中國•中國信通院站“AI智慧音箱產業峰會”在深圳完美落下帷幕。峰會現場,中國信通院泰爾終端實驗室在會上釋出AI智慧音箱效能與安全測試報告,針對多款熱銷AI智慧音箱產品進行的安全抽樣測評。報告顯示,韌體更新未進行完整性保護、系統安全配置不當、系統補丁更新不及時、許可權設定不當、高危漏洞修復率低、使用者敏感資訊明文傳輸、APP安全防護缺失等問題廣泛存在,智慧音箱安全效能堪憂。
智慧家居裝置已經融入到人們的生活中的方方面面,智慧門鎖、電視、空調、冰箱、都可以通過無線網路連線起來進行控制,而智慧音箱作為連線家中其他智慧家電的中樞神經,比起一般智慧終端裝置,採集了更多的使用者個人資訊和習慣。同時,智慧音箱作為智慧家居的入口,將連線越來越多的裝置,從而更容易成為黑客關注的目標。
加強行業聯手合作,共建智慧終端安全生態
科技的發展從來都是把雙刃劍,關於安全問題永遠都不會停止,區別在於究竟是黑客先破解,還是安全人員先發現並修復漏洞。來到智慧時代,安全問題比以往任何一個時代都嚴峻,各類智慧系統在晶片種類、終端廠商數量、作業系統種類,產品形態種類等方面的不同,使得智慧終端安全生態呈現碎片化,而伴隨著AIoT產業鏈條的複雜,安全漏洞在產業鏈各環節中層出不窮,終端廠商缺乏修復上游漏洞能力,嚴重安全漏洞的修復極其滯後。如何保障使用者在智慧時代的人身安全、資料安全與隱私安全,對網際網路發展與治理提出了全新議題。
百度安全近年來圍繞AI時代下的安全生態建設積極探索並展示實踐,通過發揮威脅情報、大資料、深度學習三者合力支撐構成的技術優勢,從評估、保障、響應三個關鍵維度入手,目前已在雲管端提出雲管端防護一體化解決方案,包括:自適應系統熱修復KARMA技術,記憶體安全核心元件MesaLock,執行時雲端應用防護OpenRASP、AI對抗攻擊工具包Advbox以及安全OTA、反DNS劫持等一系列特色能力,能夠幫助廠商快速、低成本修復裝置漏洞及功能缺陷,對抗0day漏洞,解決了系統碎片化問題,提升其AI模型的健壯性和安全性,為智慧終端裝置提供從雲端安全、資料傳輸到裝置端安全的一體化安全防護。目前,百度雲+管+端整體安全解決方案已經在智慧電視、智慧音箱領域實現落地,達成與創維、浪潮、暴風等多家廠商合作。
AIoT時代的安全需要整個行業來維護,聯手共建安全生態。百度安全在17年11月聯手華為、中國信通院發起成立了OASES智慧終端安全生態聯盟(點選瞭解更多https://oases.io),聯合終端廠商、安全廠商、高校專家和科研機構的力量,希望能夠引導一個開放、共享、合作、共建的安全生態鏈。OASES聯盟中,百度安全不僅將技術專利免費授權給聯盟廠商使用,還將核心基礎技術開源,以打消產業鏈的顧慮,推動核心安全技術真正落地,消除碎片化可能導致的生態危機。
發展至今,聯盟成員已達30餘家,包含安全廠商犇眾資訊、Keen/GeekPwn、NewSky Security、騰御安(TYA)、安天和TrustKernel,終端企業華為、中興、創維、長虹、康佳、暴風TV、TCL、極米、藍港、Mstar、浪潮、海爾優家、全志等,以及來自清華大學、復旦大學、中國科學院、上海交通大學、佛羅里達州立大學等中外頂尖院校的專家學者。
人工智慧時代的安全問題,誰都不可能做旁觀者。對於人工智慧帶來的精彩未來,我們需要以積極的心態擁抱,而針對潛在的風險,我們更需開放應對。未來,百度安全將繼續推動AI安全創新技術的落地和應用,促進智慧終端生態系統的安全升級。