物聯(lián)網(wǎng)安全,老生常談還是創(chuàng)新前沿?DePIN提供新的思路
作者:彭昭(智次方創(chuàng)始人、云和資本聯(lián)合創(chuàng)始合伙人)物聯(lián)網(wǎng)智庫 原創(chuàng)
這是我的第341篇專欄文章。
你還記得前段時間紅得出圈的Rabbit R1和AI Pin嗎?最近他們紛紛被爆出安全漏洞,令購買者的熱情出現(xiàn)了180度反轉。
對這兩款設備我們還記憶猶新,Rabbit R1擁有觸摸屏、旋轉攝像頭和滾輪等豐富的人機交互方式,可以播放音樂、網(wǎng)上購物、發(fā)送信息,甚至還能通過訓練,學習操作特定應用。
而AI Pin則被其開發(fā)商Humane定位為人們的“第二大腦”,旨在通過創(chuàng)新的硬件交互方式,提供媲美智能手機的使用體驗。
然而,安全研究人員近日揭露,Rabbit R1的源代碼中嵌入了硬編碼的API密鑰,這一嚴重的安全漏洞可能讓攻擊者輕而易舉地訪問設備上的所有內容,注意是無死角的“所有內容”,包括設備曾經(jīng)給出的每一個響應。
而AI Pin在預售期間也因為糟糕的評測結果而折戟,發(fā)貨后更是無人問津。
Rabbit R1和AI Pin的遭遇,折射出AI大模型智能設備在安全方面的短板是普遍問題。
事實上,安全問題并非AI大模型智能硬件所獨有,而是任何新型技術產(chǎn)品必須直面的挑戰(zhàn)。過去,許多智能家居和可穿戴設備也曾爆出類似的安全漏洞,給用戶的隱私和財產(chǎn)安全帶來嚴重威脅。
讓我們一起通過這篇文章,挖掘物聯(lián)網(wǎng)安全困局的根源,與你分享一些最新的調查統(tǒng)計數(shù)據(jù),并將探討我們是否可以創(chuàng)造一些新的安全解決方案。
智能“后門”?探尋物聯(lián)網(wǎng)安全困局的根源
這些時刻守護我們家門安全的“智能衛(wèi)士”,自身是否也暗藏隱患,成為智能“后門”?
智能硬件被入侵的方式不僅是眾多,而且是繁多。
智能鎖可以解鎖房門,讓入侵者輕松進入;智能玩具會記錄玩家的聲音,并在線泄漏記錄;智能吸塵器可遠程跟蹤家居布局或監(jiān)控房間活動,從而幫黑客規(guī)劃進一步的活動和行動;家庭網(wǎng)關可以連接到假冒或惡意網(wǎng)站下載惡意軟件、竊取個人信息或遠程控制連網(wǎng)設備…
最近多款亞馬遜上銷售的網(wǎng)紅智能門鈴產(chǎn)品的漏洞被曝光,安全研究人員發(fā)現(xiàn),這些知名品牌的視頻門鈴產(chǎn)品存在嚴重的系統(tǒng)漏洞,輕則可能泄露用戶隱私,重則可能危及人身安全。
更令人吃驚的是,僅僅通過一個被泄露的設備序列號,不法分子就能神不知鬼不覺地“監(jiān)守”你家的門庭,窺探你的一舉一動。即便你察覺端倪,換了一款新的門鈴,對方依然能通過后臺漏洞如影隨形。
智能可視門鈴只是智能設備領域的冰山一角,類似的安全事件正在智能家電、可穿戴設備、車聯(lián)網(wǎng)等多個細分領域上演。
雖然我們已經(jīng)習慣了被各種物聯(lián)網(wǎng)硬件包圍,但這仍是個新興領域,物聯(lián)網(wǎng)安全問題的根源在于行業(yè)生態(tài)的不健全。
物聯(lián)網(wǎng)設備的技術創(chuàng)新固然重要,但安全和隱私保護更應是產(chǎn)品設計的核心要義。遺憾的是,不少廠商受制于研發(fā)能力不足、市場壓力過大等因素,對產(chǎn)品安全性重視不夠,缺乏長遠眼光。
與此同時,行業(yè)標準和監(jiān)管體系的滯后也使得問題產(chǎn)品有機可乘。雖然各國陸續(xù)出臺了物聯(lián)網(wǎng)安全標準和法規(guī),但在具體落實中仍存在諸多盲區(qū)。加之用戶安全意識薄弱,維權渠道不暢,不良廠商難以得到應有的懲戒。
針對日益突出的智能設備安全問題,一些國家正在嘗試解決。比如,美國聯(lián)邦通信委員會(FCC)提出創(chuàng)建“美國網(wǎng)絡信任標志”自愿性網(wǎng)絡安全產(chǎn)品標簽計劃,旨在幫助消費者選擇經(jīng)制造商認證的可防黑客、詐騙犯和其他網(wǎng)絡犯罪分子侵害的智能互聯(lián)網(wǎng)設備。亞馬遜、百思買、谷歌等公司已承諾加入該計劃,但具體推出時間尚未確定。
千里之堤潰于蟻穴,這些安全問題有可能成為物聯(lián)網(wǎng)設備進一步普及的隱患。
IoT企業(yè)應對安全挑戰(zhàn)的成熟度評估
為了評估IoT廠商在應對安全漏洞方面的成熟度,外媒《消費者報告》開展了一項調查,并設計了一份包含10個問題的問卷,涵蓋了理想的漏洞披露計劃應具備的關鍵要素。受訪的56家企業(yè)的回復為我們提供了寶貴的見解。
調查結果顯示,絕大多數(shù)廠商(72%)已經(jīng)為安全研究人員提供了專門的漏洞報告聯(lián)系方式。
這無疑是積極的信號,表明業(yè)界已經(jīng)意識到,暢通的溝通渠道是漏洞披露機制的基礎。
然而,調查也發(fā)現(xiàn),只有66%的受訪企業(yè)公開發(fā)布了正式的漏洞披露政策。
缺乏明確的“游戲規(guī)則”,可能會影響研究人員的參與熱情和信任度。調查建議,即便是初創(chuàng)企業(yè),也應該盡早制定和發(fā)布漏洞披露政策,向研究人員傳遞開放、負責、協(xié)作的態(tài)度。
完善的漏洞披露計劃,不僅要處理好眼前的單個漏洞,還應具備一定的前瞻性。例如,評估漏洞在產(chǎn)品線中的影響范圍,防患于未然;建立漏洞知識庫,避免同樣的問題反復出現(xiàn);適當參與外部安全會議、激勵計劃等,與安全社區(qū)保持互動,緊跟形勢發(fā)展。
調查結果在這些方面也反映出了不同企業(yè)的差異。
需要指出的是,漏洞披露絕非單純的技術問題,也涉及法律和倫理層面。
研究人員應該以負責任的方式開展工作,而廠商則需以開明的態(tài)度對待他們的發(fā)現(xiàn)。雙方在信息發(fā)布時間、方式等方面達成共識,避免因理解分歧或處置失當造成不必要的糾紛,甚至法律訴訟。
令人欣慰的是,絕大多數(shù)受訪企業(yè)都明確表示,只要研究人員遵守披露政策,就不會對其采取法律行動。這有助于營造良性互動的氛圍。
總的來說,此次調查結果喜憂參半。
一方面,IoT廠商普遍重視漏洞披露工作,并采取了一系列積極舉措。
另一方面,在披露政策的完善性、對研究人員的激勵保障等方面,仍有很大的提升空間。
希望這份調查的結果能引發(fā)業(yè)界對漏洞披露機制的更多思考,推動形成更加成熟、規(guī)范、可持續(xù)的最佳實踐。
DePIN或將為IoT安全插上創(chuàng)新之翼
物聯(lián)網(wǎng)設備的安全問題已經(jīng)成為全球關注的焦點,而建立健全的漏洞披露機制則被視為應對之策的關鍵一環(huán)。
盡管目前行業(yè)內已有相當一部分企業(yè)采用了漏洞披露計劃,但仍有很大的提升空間,尤其是在智能門鎖、智能攝像頭、安防系統(tǒng)等直接關乎消費者物理安全的產(chǎn)品領域。
在探索物聯(lián)網(wǎng)安全解決方案的過程中,去中心化物理基礎設施網(wǎng)絡(DePIN)為業(yè)界提供了一些有益的思路和啟示。
區(qū)塊鏈技術所具有的不可篡改、可追溯等特性,可以用于構建IoT設備的身份認證、訪問控制等安全機制,提高設備抵御網(wǎng)絡攻擊的能力。
基于區(qū)塊鏈的智能合約則可實現(xiàn)IoT設備間的可信交互與協(xié)同,降低對中心化平臺的依賴,從而縮小系統(tǒng)的攻擊面。
DePIN倡導的社區(qū)協(xié)作治理模式,鼓勵所有利益相關方共同參與安全治理,將有助于加快漏洞發(fā)現(xiàn)和修復的速度。
DePIN所構建的分布式物理基礎設施,也為IoT設備的安全管理提供了新的可能,比如利用區(qū)塊鏈構建設備的“身份檔案”,便于跟蹤其軟硬件版本和漏洞修復情況。
此外,DePIN的去中心化網(wǎng)絡架構,可以有效避免單點故障,提高系統(tǒng)的魯棒性和容災能力。
分布式的數(shù)據(jù)存儲和計算模式,也使得物聯(lián)網(wǎng)數(shù)據(jù)的隱私保護和主權控制成為可能;贒ePIN平臺構建的IoT應用,將更加安全、可靠、高效。
當然,DePIN能在多大程度上助力物聯(lián)網(wǎng)安全,還有待在實踐中進一步探索。
作為一種全新的技術范式,DePIN為業(yè)界帶來了創(chuàng)新思路,但要真正補齊IoT企業(yè)在漏洞治理中的短板,還需要企業(yè)和整個行業(yè)持之以恒的努力。
寫在最后
這些事件無不在警示我們,智能設備的安全問題已經(jīng)到了刻不容緩的地步。提升智能設備的安全,需要產(chǎn)業(yè)鏈各方傾力協(xié)作,尤其離不開制造商的高度重視和持續(xù)投入。
與此同時,我們是否也可以探索一些創(chuàng)新的安全解決方案?
比如,利用區(qū)塊鏈技術構建一個去中心化的物理基礎設施網(wǎng)絡DePIN,通過分布式賬本、智能合約、數(shù)字身份認證等機制,從底層重塑IoT系統(tǒng)的可信基礎,讓每一個接入的終端設備都能獲得可驗證的安全保障。
這也許為智能設備的安全難題提供了全新的思路,但物聯(lián)網(wǎng)安全的未來,終將由每一個參與者共同書寫。
參考資料:
These Video Doorbells Have Terrible Security. Amazon Sells Them Anyway,來源:consumerreports.org
Who Ya’ Gonna Call? Why IoT Companies Should Embrace Vulnerability Disclosure Programs,來源:consumerreports.org
Going Down a Rabbit Hole to Jailbreak the R1,來源:hackster.io
原文標題 : 物聯(lián)網(wǎng)安全,老生常談還是創(chuàng)新前沿?DePIN提供新思路
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市