物聯(lián)網(wǎng)安全,老生常談還是創(chuàng)新前沿?DePIN提供新的思路
作者:彭昭(智次方創(chuàng)始人、云和資本聯(lián)合創(chuàng)始合伙人)物聯(lián)網(wǎng)智庫 原創(chuàng)
這是我的第341篇專欄文章。
你還記得前段時間紅得出圈的Rabbit R1和AI Pin嗎?最近他們紛紛被爆出安全漏洞,令購買者的熱情出現(xiàn)了180度反轉(zhuǎn)。
對這兩款設備我們還記憶猶新,Rabbit R1擁有觸摸屏、旋轉(zhuǎn)攝像頭和滾輪等豐富的人機交互方式,可以播放音樂、網(wǎng)上購物、發(fā)送信息,甚至還能通過訓練,學習操作特定應用。
而AI Pin則被其開發(fā)商Humane定位為人們的“第二大腦”,旨在通過創(chuàng)新的硬件交互方式,提供媲美智能手機的使用體驗。
然而,安全研究人員近日揭露,Rabbit R1的源代碼中嵌入了硬編碼的API密鑰,這一嚴重的安全漏洞可能讓攻擊者輕而易舉地訪問設備上的所有內(nèi)容,注意是無死角的“所有內(nèi)容”,包括設備曾經(jīng)給出的每一個響應。
而AI Pin在預售期間也因為糟糕的評測結(jié)果而折戟,發(fā)貨后更是無人問津。
Rabbit R1和AI Pin的遭遇,折射出AI大模型智能設備在安全方面的短板是普遍問題。
事實上,安全問題并非AI大模型智能硬件所獨有,而是任何新型技術產(chǎn)品必須直面的挑戰(zhàn)。過去,許多智能家居和可穿戴設備也曾爆出類似的安全漏洞,給用戶的隱私和財產(chǎn)安全帶來嚴重威脅。
讓我們一起通過這篇文章,挖掘物聯(lián)網(wǎng)安全困局的根源,與你分享一些最新的調(diào)查統(tǒng)計數(shù)據(jù),并將探討我們是否可以創(chuàng)造一些新的安全解決方案。
智能“后門”?探尋物聯(lián)網(wǎng)安全困局的根源
這些時刻守護我們家門安全的“智能衛(wèi)士”,自身是否也暗藏隱患,成為智能“后門”?
智能硬件被入侵的方式不僅是眾多,而且是繁多。
智能鎖可以解鎖房門,讓入侵者輕松進入;智能玩具會記錄玩家的聲音,并在線泄漏記錄;智能吸塵器可遠程跟蹤家居布局或監(jiān)控房間活動,從而幫黑客規(guī)劃進一步的活動和行動;家庭網(wǎng)關可以連接到假冒或惡意網(wǎng)站下載惡意軟件、竊取個人信息或遠程控制連網(wǎng)設備…
最近多款亞馬遜上銷售的網(wǎng)紅智能門鈴產(chǎn)品的漏洞被曝光,安全研究人員發(fā)現(xiàn),這些知名品牌的視頻門鈴產(chǎn)品存在嚴重的系統(tǒng)漏洞,輕則可能泄露用戶隱私,重則可能危及人身安全。
更令人吃驚的是,僅僅通過一個被泄露的設備序列號,不法分子就能神不知鬼不覺地“監(jiān)守”你家的門庭,窺探你的一舉一動。即便你察覺端倪,換了一款新的門鈴,對方依然能通過后臺漏洞如影隨形。
智能可視門鈴只是智能設備領域的冰山一角,類似的安全事件正在智能家電、可穿戴設備、車聯(lián)網(wǎng)等多個細分領域上演。
雖然我們已經(jīng)習慣了被各種物聯(lián)網(wǎng)硬件包圍,但這仍是個新興領域,物聯(lián)網(wǎng)安全問題的根源在于行業(yè)生態(tài)的不健全。
物聯(lián)網(wǎng)設備的技術創(chuàng)新固然重要,但安全和隱私保護更應是產(chǎn)品設計的核心要義。遺憾的是,不少廠商受制于研發(fā)能力不足、市場壓力過大等因素,對產(chǎn)品安全性重視不夠,缺乏長遠眼光。
與此同時,行業(yè)標準和監(jiān)管體系的滯后也使得問題產(chǎn)品有機可乘。雖然各國陸續(xù)出臺了物聯(lián)網(wǎng)安全標準和法規(guī),但在具體落實中仍存在諸多盲區(qū)。加之用戶安全意識薄弱,維權渠道不暢,不良廠商難以得到應有的懲戒。
針對日益突出的智能設備安全問題,一些國家正在嘗試解決。比如,美國聯(lián)邦通信委員會(FCC)提出創(chuàng)建“美國網(wǎng)絡信任標志”自愿性網(wǎng)絡安全產(chǎn)品標簽計劃,旨在幫助消費者選擇經(jīng)制造商認證的可防黑客、詐騙犯和其他網(wǎng)絡犯罪分子侵害的智能互聯(lián)網(wǎng)設備。亞馬遜、百思買、谷歌等公司已承諾加入該計劃,但具體推出時間尚未確定。
千里之堤潰于蟻穴,這些安全問題有可能成為物聯(lián)網(wǎng)設備進一步普及的隱患。
IoT企業(yè)應對安全挑戰(zhàn)的成熟度評估
為了評估IoT廠商在應對安全漏洞方面的成熟度,外媒《消費者報告》開展了一項調(diào)查,并設計了一份包含10個問題的問卷,涵蓋了理想的漏洞披露計劃應具備的關鍵要素。受訪的56家企業(yè)的回復為我們提供了寶貴的見解。
調(diào)查結(jié)果顯示,絕大多數(shù)廠商(72%)已經(jīng)為安全研究人員提供了專門的漏洞報告聯(lián)系方式。
這無疑是積極的信號,表明業(yè)界已經(jīng)意識到,暢通的溝通渠道是漏洞披露機制的基礎。
然而,調(diào)查也發(fā)現(xiàn),只有66%的受訪企業(yè)公開發(fā)布了正式的漏洞披露政策。
缺乏明確的“游戲規(guī)則”,可能會影響研究人員的參與熱情和信任度。調(diào)查建議,即便是初創(chuàng)企業(yè),也應該盡早制定和發(fā)布漏洞披露政策,向研究人員傳遞開放、負責、協(xié)作的態(tài)度。
完善的漏洞披露計劃,不僅要處理好眼前的單個漏洞,還應具備一定的前瞻性。例如,評估漏洞在產(chǎn)品線中的影響范圍,防患于未然;建立漏洞知識庫,避免同樣的問題反復出現(xiàn);適當參與外部安全會議、激勵計劃等,與安全社區(qū)保持互動,緊跟形勢發(fā)展。
調(diào)查結(jié)果在這些方面也反映出了不同企業(yè)的差異。
需要指出的是,漏洞披露絕非單純的技術問題,也涉及法律和倫理層面。
研究人員應該以負責任的方式開展工作,而廠商則需以開明的態(tài)度對待他們的發(fā)現(xiàn)。雙方在信息發(fā)布時間、方式等方面達成共識,避免因理解分歧或處置失當造成不必要的糾紛,甚至法律訴訟。
令人欣慰的是,絕大多數(shù)受訪企業(yè)都明確表示,只要研究人員遵守披露政策,就不會對其采取法律行動。這有助于營造良性互動的氛圍。
總的來說,此次調(diào)查結(jié)果喜憂參半。
一方面,IoT廠商普遍重視漏洞披露工作,并采取了一系列積極舉措。
另一方面,在披露政策的完善性、對研究人員的激勵保障等方面,仍有很大的提升空間。
希望這份調(diào)查的結(jié)果能引發(fā)業(yè)界對漏洞披露機制的更多思考,推動形成更加成熟、規(guī)范、可持續(xù)的最佳實踐。
DePIN或?qū)镮oT安全插上創(chuàng)新之翼
物聯(lián)網(wǎng)設備的安全問題已經(jīng)成為全球關注的焦點,而建立健全的漏洞披露機制則被視為應對之策的關鍵一環(huán)。
盡管目前行業(yè)內(nèi)已有相當一部分企業(yè)采用了漏洞披露計劃,但仍有很大的提升空間,尤其是在智能門鎖、智能攝像頭、安防系統(tǒng)等直接關乎消費者物理安全的產(chǎn)品領域。
在探索物聯(lián)網(wǎng)安全解決方案的過程中,去中心化物理基礎設施網(wǎng)絡(DePIN)為業(yè)界提供了一些有益的思路和啟示。
區(qū)塊鏈技術所具有的不可篡改、可追溯等特性,可以用于構建IoT設備的身份認證、訪問控制等安全機制,提高設備抵御網(wǎng)絡攻擊的能力。
基于區(qū)塊鏈的智能合約則可實現(xiàn)IoT設備間的可信交互與協(xié)同,降低對中心化平臺的依賴,從而縮小系統(tǒng)的攻擊面。
DePIN倡導的社區(qū)協(xié)作治理模式,鼓勵所有利益相關方共同參與安全治理,將有助于加快漏洞發(fā)現(xiàn)和修復的速度。
DePIN所構建的分布式物理基礎設施,也為IoT設備的安全管理提供了新的可能,比如利用區(qū)塊鏈構建設備的“身份檔案”,便于跟蹤其軟硬件版本和漏洞修復情況。
此外,DePIN的去中心化網(wǎng)絡架構,可以有效避免單點故障,提高系統(tǒng)的魯棒性和容災能力。
分布式的數(shù)據(jù)存儲和計算模式,也使得物聯(lián)網(wǎng)數(shù)據(jù)的隱私保護和主權控制成為可能;贒ePIN平臺構建的IoT應用,將更加安全、可靠、高效。
當然,DePIN能在多大程度上助力物聯(lián)網(wǎng)安全,還有待在實踐中進一步探索。
作為一種全新的技術范式,DePIN為業(yè)界帶來了創(chuàng)新思路,但要真正補齊IoT企業(yè)在漏洞治理中的短板,還需要企業(yè)和整個行業(yè)持之以恒的努力。
寫在最后
這些事件無不在警示我們,智能設備的安全問題已經(jīng)到了刻不容緩的地步。提升智能設備的安全,需要產(chǎn)業(yè)鏈各方傾力協(xié)作,尤其離不開制造商的高度重視和持續(xù)投入。
與此同時,我們是否也可以探索一些創(chuàng)新的安全解決方案?
比如,利用區(qū)塊鏈技術構建一個去中心化的物理基礎設施網(wǎng)絡DePIN,通過分布式賬本、智能合約、數(shù)字身份認證等機制,從底層重塑IoT系統(tǒng)的可信基礎,讓每一個接入的終端設備都能獲得可驗證的安全保障。
這也許為智能設備的安全難題提供了全新的思路,但物聯(lián)網(wǎng)安全的未來,終將由每一個參與者共同書寫。
參考資料:
These Video Doorbells Have Terrible Security. Amazon Sells Them Anyway,來源:consumerreports.org
Who Ya’ Gonna Call? Why IoT Companies Should Embrace Vulnerability Disclosure Programs,來源:consumerreports.org
Going Down a Rabbit Hole to Jailbreak the R1,來源:hackster.io
原文標題 : 物聯(lián)網(wǎng)安全,老生常談還是創(chuàng)新前沿?DePIN提供新思路
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構工程師 廣東省/深圳市