專家解讀智能設備如何防“黑”

本報記者 張旺 劉揚

智能設備在給人類生活帶來巨大便利的同時，也帶來前所未有的風險：用來航拍的無人機突然失控，行駛在高速公路上的智能汽車突然被惡意入侵的黑客接管……這一切絕不是危言聳聽，這種風險就在我們每個人身邊。央視3·15晚會就曝光了一些目前發展如火如荼的智能硬件設備的安全問題，其中包括無人機、智能樓宇、智能家居類產品、智能攝像頭、智能支付POS機、智能汽車共六大品類。面對這樣的安全風險，人們真的就防不勝防嗎？有哪些手段可以將被黑的風險降到最低？《環球時報》記者就此采訪了兩位中國知名信息安全專家。

為什么智能設備這么容易遭到黑客攻擊呢？360攻防實驗室安全專家劉健皓16日接受《環球時報》記者采訪時表示，現在的無人機、智能汽車、智能家電等產品都有一個網絡連接的終端，大多數可以通過手機APP進行監視、控制。原先，這些設備都是封閉的，人類只能觸碰功能鍵才能啟動它。但物聯網時代到來后，可以通過遠程提交一些指令就能控制它。如果它在手機APP或者網絡傳輸協議上有缺陷或者漏洞，不需要接觸設備就能被遠程控制。正常控制需要用戶名密碼作為身份驗證才可以登錄。如果是黑客攻擊的話，根本不需要授權，只需要知道產品的串號（SN號）就可以。如果是汽車的話，知道汽車VIN碼就行。

據劉健皓介紹，無人機的破解有兩種方式，一種是對禁飛區域的破解。比如在北京六環之內不允許無人機飛行，但可以通過一些手段欺騙它的GPS模塊，告訴它自己在六環之外。還有一種方式就是，把無人機GPS模塊替換掉，把它的限制去掉，讓它能在六環以內飛行。接管無人機，是通過劫持無人機遙控器信號，干擾它的信號，重換信號源。傳奇黑客SamyKamkar甚至可以通過無人機劫持無人機，而“劫持”的設備也非常簡單，主要由一個四軸飛行器、電路板、電池、兩個無線電發射器等組成。

那是不是越智能的設備越容易被黑呢，劉健皓認為，這是相對的。智能化需要IT技術支持，需要互聯網接入，還需要人工智能技術做運轉，這就為一些黑客提供了很多攻擊面，可以從互聯網層面上去攻擊，也可以從物聯網感知層去攻擊。如果大家在開發設計這些智能硬件的時候，提高防護意識、考慮到安全問題，也是可以做好防護的。

劉健皓建議，從廠商角度來講，開發設計階段要考慮到安全因素，比如在協議的加密傳輸上面、身份認證方面，還有訪問控制方面，這些安全的因素要加強。在系統建設階段，制造設備時，要考慮硬件安全、系統安全、網絡傳輸安全、軟件應用安全。產品正式上線階段，上線之前，必須經過專門的安全測試。在硬件退服階段，一定要把原來的軟件流程做一些改變。比如有一個APP版本，我不使用了，要更新版本，上一個版本是不能控制我現在的智能硬件的。那么智能硬件的流程、接口針對上一個APP版本的流程要做一些改動，要上一個版本不能控制我。這樣才能保證這個迭代是安全地退服。針對用戶講，大家在選購相關產品之前，要搜索一下，自己要買的一款路由器以前有沒有爆出過漏洞，如果發現自己購買的智能硬件存在安全漏洞，首先盡量不要對外開放訪問，可以加強自己用戶密碼配置、無線密碼配置，密碼強度達到15位以上，數字與大小寫字母組合，廠商出了補丁要盡快修補。如果發現上網異常慢，或者經常彈出不正常的廣告，那就要留意上網環境。如果訪問正常網站出現三俗廣告，那你就有可能被劫持了。不要在惡意、未知的熱點（比如WiFi）下面進行金融交易。用戶還要提高安全意識，增強密碼強度，盡量不用通用密碼，針對不同網站設置不同密碼。

那智能手表、智能手環、智能家電是不是都應該安裝防火墻和殺毒軟件呢，劉健皓表示，現在的很多智能硬件是嵌入式設備，它們的計算能力和存儲能力不能安裝殺毒軟件和防火墻，所以說傳統IT手段不能夠很好地解決現在智能硬件上的問題。而且防火墻和殺毒軟件都是在邊界加個防護。“我們的思路就是要提高智能硬件的自防護能力，保證它的整體安全”。

面臨日益增強的數據安全威脅，中國是否應該成立專業的“白客”力量？劉健皓說，一方面專業安全機構應跟建設廠商配合，幫他們完成安全測評，給他們安全建議，使產品開發出來就是安全的。另一方面，我們會對市面上的一些安全硬件進行橫向測試，把它們的優缺點權威地曝光出來，供用戶參考。提高用戶安全意識，提高廠商安全能力。這是已經在實施的。在國家政策方面，要出臺關于智能硬件安全、物聯網安全、汽車信息安全方面的標準，因為有標準廠商才能知道怎么開發。還應出臺相應的測試規范和測試指南，去驗證產品的安全性。最后還要有信息安全的評價體系，由一些國家單位牽頭對硬件進行評定。以后智能汽車實現無人駕駛時，控制權限交給系統了，如果系統出現漏洞，就可能造成嚴重事故。所以對于自動駕駛汽車，我們建議對它強制進行信息安全認證，如果通不過驗證，就不允許它在中國的路面上行駛。

中國信息安全專家譚曉生16日對《環球時報》記者表示，過去的電子產品出廠前只考慮硬件安全和材料安全，今后應該把信息安全作為產品安全的測試指標。應該通過立法將信息安全納入產品準入標準。隨著硬件產品越來越智能化，就需要更多的專業人員對這些產品進行安全評估。所以中國就需要多培養懂信息安全的專業人才，而在目前相關專業人才還沒有培養到位的情況下，可以把民間的一些力量先用起來。▲