作者丨白瑞編輯丨及軼嶸頭圖圖源丨jiaheu
“攝像頭ID普通的85元10個,好點的175元25個,附贈操作指導。”這是新華社記者與不法人員的聊天記錄。
據報道,完成支付後,該人員發來24個設備列表名稱,其中標註有“客廳”“睡房”等字樣。按照“教學”提示,通過下載一款手機App就可以查看視頻監控畫面。
更令人震驚的是,只要再花320元購買一款“破解軟件”,用户就可以快速破解999個攝像頭ID進行“包月”觀看。
記者與不法分子的聊天截屏,圖源:新華社
事實上,破解物聯網(IoT)設備窺探隱私遠比大眾想象的更簡單,一些黑客軟件可達到“零門檻”、“傻瓜操作”的程度,一分鐘就能安裝上手。
如今,每天都有成千上萬的物聯網設備,被不斷地生產和製造出來。環顧四周,你會發現周圍有很多物聯網設備都是與互聯網連接的,比如智能門鎖、攝像頭、門鈴、智能手錶、汽車等等,這些都有可能成為黑客窺探隱私的“千里眼”、“順風耳”。
近幾年,這些事件正在不斷上演。
- 2015年,黑客入侵無人機系統並組建“殭屍機隊”;
- 2016年,名為Mirai的殭屍蠕蟲導致全球100萬IoT設備感染;
- 2017年,LG智能家居設備被曝存在漏洞,可實現遠程劫持和實時監控;
- 2018年,智能門鎖行業遭遇安全危機,多家制造商被爆出安全隱患;
- 同年,國內黑客團隊只用了26秒,就讓亞馬遜智能音箱Echo秒變“竊聽器”。
據研究機構Gartner數據報告顯示,35%的企業認為安全是物聯網部署獲得成功的最大阻礙因素。2020年,超過25%的安全入侵與物聯網相關。
無疑,物聯網安全的話題已經上升到一個前所未有的高度。因為物聯網安全已經不僅涉及到了設備製造商的數據安全,還涉及到了個人隱私安全、個人財產安全,乃至於個人生命安全。
物聯網安全需要“硬起來”
除了需要從法律法規和政府監管上對物聯網的發展實現規範化,與此同時,物聯網設備製造商、方案提供商以及雲服務提供商也正在從產業和技術上着手解決安全問題。
包括阿里雲、騰訊雲、百度雲在內的國內雲計算服務商都在加快佈局物聯網安全。
日前,阿里雲就與德國芯片巨頭英飛凌聯合,面向中國市場推出了基於硬件的ID²安全芯片OPTIGA™ Trust M2 ID2,並獲得了CC EAL6+最高安全等級的認證,這也是一款專為物聯網設備上雲量身定製的安全芯片。
值得注意的是,英飛凌在全球安全芯片、功率半導體以及汽車電子市場份額均位居第一。雙方在2018年就已經簽署物聯網合作備忘錄,此次英飛凌為阿里雲定製物聯網安全芯片,也可視為合作後最大的一次動作。
阿里雲向英飛凌定製的ID²安全芯片,圖源:英飛凌
據悉,OPTIGA™ Trust M2 ID2芯片在出廠之前,就會預置由阿里雲Link ID²服務分發的獨一無二的ID信息,設備商直接將安全芯片嵌入到終端設備中即可使用,首次聯網將在雲端完成對Link ID²設備的註冊。
其中,Link ID²(Internet Device ID)是阿里雲的IoT設備身份認證服務,可作為一種物聯網設備的可信身份標識,具備不可篡改、不可偽造、全球唯一的安全屬性,是實現萬物互聯的關鍵。簡而言之,ID²就好比人的身份證一樣,其重要性不言而喻。
英飛凌科技安全互聯繫統事業部市場經理成皓對創業邦表示,實際上,基於硬件級別的物聯網安全芯片也並不是剛剛出現,前兩年之所以設備商選擇了軟件安全的方案,更多的是出於成本方面的考量。
不少設備商也認為:“我為什麼要加這麼一個安全芯片?我現在東西用得挺好的,沒有任何問題嘛。”
雖然基於軟件實現的方案可以用來防禦一些邏輯通信上的非法訪問,減少軟件自身漏洞帶來的一些風險,但是軟件方案一般運行在通用MCU(微控制單元)、CPU環境中,數據容易被訪問和讀取,也易於被複制、篡改、分析和理解。
而基於硬件的安全芯片則可以抵禦更高級別的黑客攻擊。
用户的關鍵數據和信息都通過加密的方式存儲在芯片內部,哪怕設備遭受外部攻擊,整個系統設計或是軟件層面有漏洞,因為黑客沒辦法訪問安全芯片,存儲在芯片內部的數據無法被外部截取和分析,這也是硬件安全芯片最大的優勢。
阿里雲ID²安全芯片購買頁面,每個芯片合6元
圖源:阿里雲
“近些年,很多智能門鎖、安防企業因遭遇網絡攻擊而產生了‘我需要安全級別、更高的抵禦方式’這樣的訴求,同時隨着成本的下降,這些場景現在大多選擇基於硬件的安全芯片。這也是選擇現在這個時間點推出的原因”,他説到。
例如,控制智能音箱前,大部分人會通過雲服務商的賬號密碼進行登錄,用户的賬户信息、密碼都會存儲到安全芯片內部以保證不被截取。
通過安全芯片的雙向認證功能,可以保證智能音箱只會處理一些經過合法來源認證的信息,如果有陌生人通過偽造的遠程語音信息來“開門”或者“開窗”的時候,智能音箱就有能力鑑別這個信息來源是否合法。
智能音箱上演“千箱大戰”,圖源:刺蝟公社
而智能攝像頭容易被黑客“關照”的主要原因就在於其“弱口令”。一般來説,大部分設備出廠密碼都會默認設置成admin,而對於黑客來説這是一個天大的“福利”。同樣,用户在電動汽車充電樁進行支付的過程中也會面臨風險。
但凡是這些物聯網設備在和雲端交互的數據,通過安全芯片都會以加密的形式進行傳遞,即便被黑客攔截也無法破譯原始信息。
不光是在ToC領域,其實在工廠智能化的過程中,也存在由於黑客攻擊導致整個產線癱瘓的案例。
對於企業來説,更為致命的是核心技術、關鍵數據的泄漏,尤其會對生產製造型企業造成嚴重打擊。在機械手臂中嵌入安全芯片,就可以做到工業設備與邊緣網關之間通訊數據的加密,保證企業核心生產數據的安全。
同時,安全芯片還可以用來驗證上傳數據的設備是否是合法的設備,即在工廠內實際工作的設備,而非一個黑客或者是第三方偽造的設備。通過建立起一套完善的安全機制,對於工廠本身來説,也可以達到精準操控和節省能耗的目的。
阿里早有佈局,騰訊緊隨其後
隨着5G和AI技術的成熟,2020年全球物聯網設備連接數預計可達128億台,市場規模約7萬億元人民幣,中國物聯網總規模預計達到2.2萬億元人民幣。
IoT也被阿里巴巴視為繼電商、金融、物流、雲計算之後的一條新的主賽道。馬雲曾説到,過去20年的互聯網是“人聯網”,而未來20年的互聯網,無疑將是物聯網的時代。萬物互聯,是接下來互聯網下半場之後的新階段。
設備身份認證作為物聯網安全的關鍵一環,阿里也早早地意識到了這一點。
阿里雲早在2017年12月就發佈了IoT安全解決方案ID²-SIM。2018年12月,又正式推出了IoT設備身份認證Link ID²。
今年5月9日,阿里雲發佈了一項由其牽頭制定的IoT設備身份標識國際標準,即ITU-T Y.4462《開放物聯網身份標識協作服務要求及功能架構》。
可以看到,阿里雲從最初的ID²-SIM發展到ITU-T Y.4462,已經從一個IoT設備身份認證、密鑰分發的服務商開始轉變為IoT安全標準的制定者角色。
此前,阿里雲Link ID²主要應用場景在智能門鎖。在其IoT設備身份標識標準發佈之後,阿里雲也加快了與芯片、設備商等合作伙伴拓展Link ID²生態的步伐,擴張到了智能攝像頭、智能穿戴、智能汽車、智能家電等領域。
相比阿里的高調佈局,騰訊在物聯網上顯得更加低調和佛系。
2017年,物聯網入口之爭,騰訊未砸錢;2018年,物聯網平台之戰,騰訊未參與;2019年,當AIoT已成為友商的戰略時,騰訊也在完成“930變革”後,成立了新的雲與智慧產業事業羣(CSIG),這也成為了開始佈局IoT的拐點。
在這一年時間,可以用“騰訊很忙”來形容。騰訊以近乎每月一款核心產品的頻率完成了“全棧IoT產品和服務”的部署,彌補了在IoT上的缺位。
騰訊雲AI平台和物聯網產品總經理張文傑也説到,“騰訊做物聯網其實已經花了很長時間了,現在是因為所有產品都達到了一定程度的成熟階段,我們才覺得可以公佈這件事情。”
為了對標阿里雲的Link ID²,2019年5月,騰訊雲也同樣推出了物聯網設備身份認證IoT TID服務,並聯合華大電子、恩智浦、大唐微電子、復旦微電子等芯片企業推出了基於硬件的安全芯片。
同時,騰訊雲從安全漏洞攻防角度編寫了一部高於IoT安全國家標準的《騰訊物聯網安全技術規範》。
由於騰訊雲TID支持IoT設備弱網低速率環境下接入,其適用範圍可以更為廣泛。
可以説,在物聯網安全的這一細分領域,雙方已經開始貼身肉搏。
實際上,阿里雲Link ID²不僅在於先發優勢,還在於其此前發起成立的ICA(IoT Connectivity Alliance)聯盟,以及阿里旗下天貓、淘寶電商平台的零售驅動。
阿里雲物聯網安全總監董侃也曾表示,“ID²打通了芯片、模組、設備、軟件服務、通信運營、檢測認證等生態鏈環節,並能夠結合淘寶、天貓、雲市場等銷售資源建立一個完整的生態閉環。”
騰訊IoT的殺手鐧——騰訊連連
如果説ICA聯盟、電商是阿里的優勢的話,那麼騰訊的殺手鐧則是微信和小程序。
張文傑認為,物聯網首先要解決的就是“連接”的問題。“騰訊連連”是騰訊的一款超級小程序(以微信小程序為應用載體的服務平台)。藉助這個平台,騰訊不僅可以為用户提供一個IoT入口,也可以藉此打通消費物聯網和產業物聯網之間的道路。
據悉,騰訊雲也正在與諸如遙控大師(遙控器)、威仕達(窗簾)、寶太電子(開關)、實新通(門鎖)、掌育科技(可穿戴)、中昱智雲(教育)等企業展開合作。
面對阿里的聯盟,騰訊也正在謀劃一個更大的開放性行業生態。
寫在最後
狄更斯在《雙城記》中説到:“這是一個最美好的時代,也是一個最糟糕的時代。”往往“最美好、最糟糕”之間只差了一個“安全”。
阿里、騰訊在物聯網安全上的競逐還在繼續,無論如何,一個沒有隱私泄露、更加安全的物聯網環境是所有人都希望看到的。