关于智能家居漏洞的安全研究有了新进展。11月16日,“天府杯”2018国际网络安全大赛暨2018天府国际网络安全高峰论坛在成都开幕,除了激烈的国际破解大赛,多场备受关注的重磅行业论坛也同期举行。在智能设备漏洞成为网络安全领域重要话题的背景下,来自电子科大网络安全研究院、腾讯安全等企业的技术专家齐聚漏洞挖掘分论坛,就相关议题展开深入交流。
腾讯安全移动安全实验室的安全研究员秦书锴受邀出席漏洞挖掘分论坛,并作了《智能家居新型攻击面研究》的主题分享。秦书锴表示,智能家居安全面临结构更复杂、涉及环节更多的痛点,亟需构建一套涵盖APP安全、协议保护和固件安全的系统化全流程保护方案。
(图:腾讯安全移动安全实验室的安全研究员秦书锴)
智能手机成攻击“入口”或导致智能家居安防全面瓦解
智能家居产品的安全性一直是开发人员面临的最大挑战之一。长期以来,不法黑客显示出了对物联网领域极高的兴趣,智能家居类消费产品的安全问题频发,几乎每隔不到一个星期,就可以看到各种新闻报道说,某个知名公司或大型机构遇到了又一个安全漏洞。
据秦书锴介绍,智能家居的安全威胁模型与传统安全威胁模型不同,不仅结构更加复杂,保护的重点也不尽相同。“智能家居更侧重于保护操作系统安全,侧重防御RCE和云端安全。”秦书锴表示,由于传统的安全模型只保护单个环节,默认局域网的安全,实际给不法分子制造了可乘之机。
秦书锴特别强调,智能手机自如地穿梭在各个局域网当中,设备数量极多,一旦用户安全意识不强,随意进行例如扫描未知二维码、连接风险WiFi等操作,极易成为携带病毒的“病原体”。为了帮助观众理解最新智能家居攻击模型,秦书锴现场剖析了腾讯安全移动安全实验室在2018GeekPwn国际安全破解大赛上简单三步破解“黑客屋”的案例:极客首先通过发送钓鱼短信控制了智能手机,潜入局域网后迅速锁定智能电视、路由器等家庭网络中枢作为“桥头堡”,最后进行跳板攻击其他的智能家居设备,实现控制台灯、扫地机器人、摄像头等一系列设备。
助力保障IoT设备安全腾讯安全移动安全实验室打造全流程解决方案
面对频繁暴露的智能家居漏洞安全隐患,腾讯安全移动安全实验室通过对大量设备进行安全攻防与研究,挖掘出了上百个IoT设备的高危漏洞,涉及几十种设备类型,并研发出一套独有的IoT设备全流程保护方案,全面覆盖知识产权保护、恶意破解防护、漏洞防御等IoT风险。
具体来说,通过在移动平台攻击经验的积累和对设备安全的深入研究,腾讯安全移动安全研究实验室针对设备APP,基于Android和IOS平台开发语言的VMP保护方案能大幅提高攻击者逆向分析APP进行漏洞挖掘的成本和精力;在协议保护方面,对数据进行加密等安全处理行为能够保证数据内容不被窃取或篡改,保证数据传输层的协议及内容安全;在固件方面,IoT安全编译器通过对Native代码的深度保护,提供攻击者固件漏洞挖掘的成本。腾讯安全移动安全实验室搭建起稳定、安全、简单、易集成的全流程安全保护方案,并为客户提供稳定、高效、持续性的安全技术支持服务。
“新的攻击面不仅会一直存在,还将产生新的漏洞并让不严重的漏洞严重起来”, 秦书锴表示,腾讯安全移动安全实验室已经拥有了一套整体的方案,一方面可以帮助排查市面上如智能门锁等智能家居产品安全风险,帮助行业修复漏洞,如果厂商有需要,移动安全实验室可以提供方案;另一方面未来希望能够制定智能家居产品安全方面的标准,腾讯安全移动安全实验室将持续开放自身的安全能力,助力行业伙伴实现智能设备安全升级。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。