8块钱就能窥探你家隐私,阿里腾讯上演“安全大战”
作者丨白瑞
编辑丨及轶嵘
头图图源丨jiaheu
“摄像头ID普通的85元10个,好点的175元25个,附赠操作指导。”这是新华社记者与不法人员的聊天记录。
据报道,完成支付后,该人员发来24个设备列表名称,其中标注有“客厅”“睡房”等字样。按照“教学”提示,通过下载一款手机App就可以查看视频监控画面。
更令人震惊的是,只要再花320元购买一款“破解软件”,用户就可以快速破解999个摄像头ID进行“包月”观看。
记者与不法分子的聊天截屏,图源:新华社
事实上,破解物联网(IoT)设备窥探隐私远比大众想象的更简单,一些黑客软件可达到“零门槛”、“傻瓜操作”的程度,一分钟就能安装上手。
如今,每天都有成千上万的物联网设备,被不断地生产和制造出来。环顾四周,你会发现周围有很多物联网设备都是与互联网连接的,比如智能门锁、摄像头、门铃、智能手表、汽车等等,这些都有可能成为黑客窥探隐私的“千里眼”、“顺风耳”。
近几年,这些事件正在不断上演。
2015年,黑客入侵无人机系统并组建“僵尸机队”; 2016年,名为Mirai的僵尸蠕虫导致全球100万IoT设备感染; 2017年,LG智能家居设备被曝存在漏洞,可实现远程劫持和实时监控; 2018年,智能门锁行业遭遇安全危机,多家制造商被爆出安全隐患; 同年,国内黑客团队只用了26秒,就让亚马逊智能音箱Echo秒变“窃听器”。
据研究机构Gartner数据报告显示,35%的企业认为安全是物联网部署获得成功的最大阻碍因素。2020年,超过25%的安全入侵与物联网相关。
无疑,物联网安全的话题已经上升到一个前所未有的高度。因为物联网安全已经不仅涉及到了设备制造商的数据安全,还涉及到了个人隐私安全、个人财产安全,乃至于个人生命安全。
物联网安全需要“硬起来”
除了需要从法律法规和政府监管上对物联网的发展实现规范化,与此同时,物联网设备制造商、方案提供商以及云服务提供商也正在从产业和技术上着手解决安全问题。
包括阿里云、腾讯云、百度云在内的国内云计算服务商都在加快布局物联网安全。
日前,阿里云就与德国芯片巨头英飞凌联合,面向中国市场推出了基于硬件的ID²安全芯片OPTIGA™ Trust M2 ID2,并获得了CC EAL6+最高安全等级的认证,这也是一款专为物联网设备上云量身定制的安全芯片。
值得注意的是,英飞凌在全球安全芯片、功率半导体以及汽车电子市场份额均位居第一。双方在2018年就已经签署物联网合作备忘录,此次英飞凌为阿里云定制物联网安全芯片,也可视为合作后最大的一次动作。
阿里云向英飞凌定制的ID²安全芯片,图源:英飞凌
据悉,OPTIGA™ Trust M2 ID2芯片在出厂之前,就会预置由阿里云Link ID²服务分发的独一无二的ID信息,设备商直接将安全芯片嵌入到终端设备中即可使用,首次联网将在云端完成对Link ID²设备的注册。
其中,Link ID²(Internet Device ID)是阿里云的IoT设备身份认证服务,可作为一种物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性,是实现万物互联的关键。简而言之,ID²就好比人的身份证一样,其重要性不言而喻。
英飞凌科技安全互联系统事业部市场经理成皓对创业邦表示,实际上,基于硬件级别的物联网安全芯片也并不是刚刚出现,前两年之所以设备商选择了软件安全的方案,更多的是出于成本方面的考量。
不少设备商也认为:“我为什么要加这么一个安全芯片?我现在东西用得挺好的,没有任何问题嘛。”
虽然基于软件实现的方案可以用来防御一些逻辑通信上的非法访问,减少软件自身漏洞带来的一些风险,但是软件方案一般运行在通用MCU(微控制单元)、CPU环境中,数据容易被访问和读取,也易于被复制、篡改、分析和理解。
而基于硬件的安全芯片则可以抵御更高级别的黑客攻击。
用户的关键数据和信息都通过加密的方式存储在芯片内部,哪怕设备遭受外部攻击,整个系统设计或是软件层面有漏洞,因为黑客没办法访问安全芯片,存储在芯片内部的数据无法被外部截取和分析,这也是硬件安全芯片最大的优势。
阿里云ID²安全芯片购买页面,每个芯片合6元
图源:阿里云
“近些年,很多智能门锁、安防企业因遭遇网络攻击而产生了‘我需要安全级别、更高的抵御方式’这样的诉求,同时随着成本的下降,这些场景现在大多选择基于硬件的安全芯片。这也是选择现在这个时间点推出的原因”,他说到。
例如,控制智能音箱前,大部分人会通过云服务商的账号密码进行登录,用户的账户信息、密码都会存储到安全芯片内部以保证不被截取。
通过安全芯片的双向认证功能,可以保证智能音箱只会处理一些经过合法来源认证的信息,如果有陌生人通过伪造的远程语音信息来“开门”或者“开窗”的时候,智能音箱就有能力鉴别这个信息来源是否合法。
智能音箱上演“千箱大战”,图源:刺猬公社
而智能摄像头容易被黑客“关照”的主要原因就在于其“弱口令”。一般来说,大部分设备出厂密码都会默认设置成admin,而对于黑客来说这是一个天大的“福利”。同样,用户在电动汽车充电桩进行支付的过程中也会面临风险。
但凡是这些物联网设备在和云端交互的数据,通过安全芯片都会以加密的形式进行传递,即便被黑客拦截也无法破译原始信息。
不光是在ToC领域,其实在工厂智能化的过程中,也存在由于黑客攻击导致整个产线瘫痪的案例。
对于企业来说,更为致命的是核心技术、关键数据的泄漏,尤其会对生产制造型企业造成严重打击。在机械手臂中嵌入安全芯片,就可以做到工业设备与边缘网关之间通讯数据的加密,保证企业核心生产数据的安全。
同时,安全芯片还可以用来验证上传数据的设备是否是合法的设备,即在工厂内实际工作的设备,而非一个黑客或者是第三方伪造的设备。通过建立起一套完善的安全机制,对于工厂本身来说,也可以达到精准操控和节省能耗的目的。
阿里早有布局,腾讯紧随其后
随着5G和AI技术的成熟,2020年全球物联网设备连接数预计可达128亿台,市场规模约7万亿元人民币,中国物联网总规模预计达到2.2万亿元人民币。
IoT也被阿里巴巴视为继电商、金融、物流、云计算之后的一条新的主赛道。马云曾说到,过去20年的互联网是“人联网”,而未来20年的互联网,无疑将是物联网的时代。万物互联,是接下来互联网下半场之后的新阶段。
设备身份认证作为物联网安全的关键一环,阿里也早早地意识到了这一点。
阿里云早在2017年12月就发布了IoT安全解决方案ID²-SIM。2018年12月,又正式推出了IoT设备身份认证Link ID²。
今年5月9日,阿里云发布了一项由其牵头制定的IoT设备身份标识国际标准,即ITU-T Y.4462《开放物联网身份标识协作服务要求及功能架构》。
可以看到,阿里云从最初的ID²-SIM发展到ITU-T Y.4462,已经从一个IoT设备身份认证、密钥分发的服务商开始转变为IoT安全标准的制定者角色。
此前,阿里云Link ID²主要应用场景在智能门锁。在其IoT设备身份标识标准发布之后,阿里云也加快了与芯片、设备商等合作伙伴拓展Link ID²生态的步伐,扩张到了智能摄像头、智能穿戴、智能汽车、智能家电等领域。
相比阿里的高调布局,腾讯在物联网上显得更加低调和佛系。
2017年,物联网入口之争,腾讯未砸钱;2018年,物联网平台之战,腾讯未参与;2019年,当AIoT已成为友商的战略时,腾讯也在完成“930变革”后,成立了新的云与智慧产业事业群(CSIG),这也成为了开始布局IoT的拐点。
在这一年时间,可以用“腾讯很忙”来形容。腾讯以近乎每月一款核心产品的频率完成了“全栈IoT产品和服务”的部署,弥补了在IoT上的缺位。
腾讯云AI平台和物联网产品总经理张文杰也说到,“腾讯做物联网其实已经花了很长时间了,现在是因为所有产品都达到了一定程度的成熟阶段,我们才觉得可以公布这件事情。”
为了对标阿里云的Link ID²,2019年5月,腾讯云也同样推出了物联网设备身份认证IoT TID服务,并联合华大电子、恩智浦、大唐微电子、复旦微电子等芯片企业推出了基于硬件的安全芯片。
同时,腾讯云从安全漏洞攻防角度编写了一部高于IoT安全国家标准的《腾讯物联网安全技术规范》。
由于腾讯云TID支持IoT设备弱网低速率环境下接入,其适用范围可以更为广泛。
可以说,在物联网安全的这一细分领域,双方已经开始贴身肉搏。
实际上,阿里云Link ID²不仅在于先发优势,还在于其此前发起成立的ICA(IoT Connectivity Alliance)联盟,以及阿里旗下天猫、淘宝电商平台的零售驱动。
阿里云物联网安全总监董侃也曾表示,“ID²打通了芯片、模组、设备、软件服务、通信运营、检测认证等生态链环节,并能够结合淘宝、天猫、云市场等销售资源建立一个完整的生态闭环。”
腾讯IoT的杀手锏——腾讯连连
如果说ICA联盟、电商是阿里的优势的话,那么腾讯的杀手锏则是微信和小程序。
张文杰认为,物联网首先要解决的就是“连接”的问题。“腾讯连连”是腾讯的一款超级小程序(以微信小程序为应用载体的服务平台)。借助这个平台,腾讯不仅可以为用户提供一个IoT入口,也可以借此打通消费物联网和产业物联网之间的道路。
据悉,腾讯云也正在与诸如遥控大师(遥控器)、威仕达(窗帘)、宝太电子(开关)、实新通(门锁)、掌育科技(可穿戴)、中昱智云(教育)等企业展开合作。
面对阿里的联盟,腾讯也正在谋划一个更大的开放性行业生态。
写在最后
狄更斯在《双城记》中说到:“这是一个最美好的时代,也是一个最糟糕的时代。”往往“最美好、最糟糕”之间只差了一个“安全”。
阿里、腾讯在物联网安全上的竞逐还在继续,无论如何,一个没有隐私泄露、更加安全的物联网环境是所有人都希望看到的。
参考资料:
1、《当心!物联网设备正在“出卖”你的隐私》,人民日报;
2、《阿里云发布IoT身份领域首个国际标准物联网标识》,数智网;
3、《腾讯云升级IoT Explorer,发布新品“腾讯连连”》,云计算视界。