原標(biāo)題:百度安全OTA:構(gòu)筑智能終端“生命防線”
近日,AIoT技術(shù)前沿論壇·OASES聯(lián)盟行業(yè)技術(shù)交流會(huì)在京舉行。百度安全專家代表、泰爾實(shí)驗(yàn)室專家、業(yè)界安全專家、OASES聯(lián)盟成員代表,齊聚一堂,圍繞AIoT行業(yè)安全挑戰(zhàn)、現(xiàn)狀、發(fā)展趨勢,安全生態(tài)建設(shè)等話題,進(jìn)行了深度交流。
交流會(huì)現(xiàn)場,百度AI安全技術(shù)總監(jiān)聶科峰發(fā)表了主題為“安全OTA:構(gòu)筑智能終端生命防線”的演講。他指出,OTA服務(wù)幫助智能設(shè)備完成對系統(tǒng)、應(yīng)用及數(shù)據(jù)的管理升級,肩負(fù)著系統(tǒng)漏洞修復(fù)的重任,是智能設(shè)備系統(tǒng)安全的“生命防線”。但當(dāng)前的OTA服務(wù)中,升級包的來源、認(rèn)證、數(shù)據(jù)、通信等方面,均存在不可小視的安全隱患,急需提升安全性。百度安全OTA基于以上生態(tài)缺口應(yīng)運(yùn)而生,它為智能設(shè)備廠商提供專業(yè)、高效的OTA升級服務(wù)同時(shí),強(qiáng)化安全能力的輸出,為智能設(shè)備終端的“生命防線”加一道鎖。
OTA安全風(fēng)險(xiǎn)頻發(fā),急需提升安全性
據(jù)介紹,智能設(shè)備中,OTA有重要的用途,包括能夠幫助系統(tǒng)修復(fù)BUG和安全漏洞,實(shí)現(xiàn)系統(tǒng)升級,ABTest功能驗(yàn)證,實(shí)現(xiàn)本地內(nèi)容、資源運(yùn)營等。但目前由于安全能力不足,OTA已成為黑客入侵設(shè)備的首要目標(biāo)之一。百度AI安全團(tuán)隊(duì)對超過40款智能終端進(jìn)行了OTA安全評估,數(shù)據(jù)顯示:95%設(shè)備未能保護(hù)OTA升級包的數(shù)據(jù)內(nèi)容,90%設(shè)備無法抵御通信過程中的中間人攻擊,61%設(shè)備可強(qiáng)制將系統(tǒng)/APP版本降級至低版本。
聶科峰表示,OTA服務(wù)目前存在一系列安全風(fēng)險(xiǎn),包括通信劫持、降級攻擊、嗅探分析、內(nèi)容替換等?!疤嵘齇TA的安全性,需要聚焦‘誰給的數(shù)據(jù)’、‘給誰的數(shù)據(jù)’、‘?dāng)?shù)據(jù)保護(hù)’、‘通信保護(hù)’等四大核心場景,有針對性地接入先進(jìn)的安全防護(hù)技術(shù)。目前可以通過簽名校驗(yàn)、雙向認(rèn)證、升級包加密、通訊安全防護(hù)等技術(shù)手段提升安全能力?!?
百度安全打造安全、專業(yè)、高效的OTA升級服務(wù)
針對OTA安全問題,百度安全依托多年互聯(lián)網(wǎng)安全實(shí)戰(zhàn)經(jīng)驗(yàn)和深厚的技術(shù)實(shí)力,打造了一套安全、專業(yè)、高效的OTA升級解決方案,可為智能設(shè)備提供從云端安全、數(shù)據(jù)傳輸?shù)皆O(shè)備端安全的一體化安全防護(hù)。
該方案為智能設(shè)備OTA提供了六大安全保障,覆蓋安全審計(jì)、傳輸安全、升級策略、升級防護(hù)、云端防護(hù)、KMS密鑰管理等方面。安全審計(jì)能夠覆蓋管理平臺(tái)的下發(fā)服務(wù)及所有平臺(tái)SDK;傳輸安全能夠?qū)崿F(xiàn)全流量TLS;升級策略可幫助設(shè)備防降級,實(shí)現(xiàn)簽名校驗(yàn),完整性校驗(yàn),權(quán)限校驗(yàn)等;升級防護(hù)提供安裝包加密,設(shè)備認(rèn)證,安裝包安全檢測等能力;云端防護(hù)提供DDOS防護(hù),WAF防護(hù)和OpenRASP防護(hù);KMS密鑰管理則能進(jìn)一步提升系統(tǒng)密鑰安全。
目前,百度安全OTA已經(jīng)向智能家居、智能可穿戴、智慧駕駛、工業(yè)物聯(lián)網(wǎng)等多個(gè)領(lǐng)域開放,為廠商提供安全現(xiàn)狀可監(jiān)控、安全問題可解決的系統(tǒng)升級和修復(fù)方案,目前已為美的空調(diào)、搭載百度DuerOS的小青AI音箱等智能終端提供服務(wù)及保障,近期還將有更多品牌設(shè)備陸續(xù)接入。
OASES聯(lián)盟倡導(dǎo)開放共享的安全生態(tài)
在智能終端產(chǎn)品激烈競爭、易陷入同質(zhì)化困局的今天,伴隨著用戶安全意識的覺醒,安全能力的角逐已成為智能終端產(chǎn)品突圍的重要突破口之一。然而,進(jìn)入AIoT時(shí)代,智能終端面對著全新的攻防問題,廠商面臨的將是更復(fù)雜、更多維度、更深層次的生態(tài)系統(tǒng)級別的安全挑戰(zhàn),傳統(tǒng)上各自為戰(zhàn)、獨(dú)善其身的安全方案已難滿足升級的安全需求,迫切需要更加專業(yè)、可靠的安全合作伙伴共筑智能家居安全新長城。
基于此,百度安全憑借18年安全技術(shù)能力的積累與實(shí)踐,聯(lián)合華為、中國信息通信研究院發(fā)起成立了OASES聯(lián)盟,由安全廠商、設(shè)備廠商、高校科研機(jī)構(gòu)、政府機(jī)構(gòu)共同組成,旨在用技術(shù)讓智能終端生態(tài)更安全,通過技術(shù)賦能、標(biāo)準(zhǔn)驅(qū)動(dòng)、生態(tài)共建、產(chǎn)業(yè)共贏的理念,與聯(lián)盟合作伙伴共同推動(dòng)安全技術(shù)與服務(wù)的應(yīng)用落地,推進(jìn)智能終端產(chǎn)業(yè)的快速、健康發(fā)展,共建安全的AI 時(shí)代。OASES聯(lián)盟的生態(tài)開放性,吸引了一批企業(yè)和高校專家加入。發(fā)展至今,聯(lián)盟成員已達(dá)30余家,包含安全廠商犇眾信息、Keen/GeekPwn、NewSky Security、騰御安(TYA)、安天和TrustKernel,終端企業(yè)華為、中興、創(chuàng)維、長虹、康佳、暴風(fēng)TV、TCL、極米、藍(lán)港、Mstar、浪潮、海爾優(yōu)家、全志等,以及來自清華大學(xué)、復(fù)旦大學(xué)、中國科學(xué)院、上海交通大學(xué)、佛羅里達(dá)州立大學(xué)等中外頂尖院校的專家學(xué)者。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。