7月5日，2017百度AI開(kāi)發(fā)者大會(huì)在國(guó)家會(huì)議中心舉辦，百度AI生態(tài)的重要戰(zhàn)略、最新技術(shù)、業(yè)務(wù)進(jìn)展和解決方案在大會(huì)中首次向5000名開(kāi)發(fā)者集中展示。在全球首個(gè)專注于AI開(kāi)發(fā)者的盛會(huì)上，業(yè)內(nèi)首個(gè)智能設(shè)備安全檢測(cè)工具同期亮相。

這款產(chǎn)品由百度安全與DuerOS（百度對(duì)話式人工智能操作系統(tǒng)）團(tuán)隊(duì)聯(lián)合開(kāi)發(fā)，面向廣大智能設(shè)備開(kāi)發(fā)者。它將發(fā)揮百度在安全領(lǐng)域多年積累的能力，降低智能設(shè)備AI化的開(kāi)發(fā)門檻，提高設(shè)備安全性。

初級(jí)安全攻防博弈：規(guī)?；瘬屨季W(wǎng)絡(luò)環(huán)境下漏洞破解入口

AI正在改變機(jī)器與人的交互方式，影響力日益擴(kuò)大，整個(gè)行業(yè)亦面臨著安全的挑戰(zhàn)。

2017年央視3·15晚會(huì)上，官方曾曝光人臉識(shí)別漏洞，主持人僅憑一張觀眾手機(jī)里的自拍照，經(jīng)過(guò)簡(jiǎn)單技術(shù)處理，成功攻破人臉驗(yàn)證。伴隨金融機(jī)構(gòu)遠(yuǎn)程開(kāi)戶、人臉取現(xiàn)、貸款等場(chǎng)景大規(guī)模普及，金融風(fēng)險(xiǎn)不容小覷。

不僅是智能移動(dòng)設(shè)備，以智能門鎖、智能攝像頭、智能電器為代表的物聯(lián)網(wǎng)設(shè)備，當(dāng)前存在大量安全漏洞。安全“裸奔”下的物聯(lián)網(wǎng)設(shè)備，不僅會(huì)出賣用戶隱私，同時(shí)令家庭成為黑客遙控的高危作案現(xiàn)場(chǎng)。并非是危言聳聽(tīng)，家庭Wi-Fi已經(jīng)成為黑客搶占網(wǎng)絡(luò)環(huán)境下漏洞破解入口：黑客使用一個(gè)未公開(kāi)的漏洞獲取路由器的最高權(quán)限，進(jìn)而控制了家庭內(nèi)的智能家居系統(tǒng)，實(shí)現(xiàn)任意操縱家庭中的智能插座、智能洗衣機(jī)、智能電烤箱，讓洗衣機(jī)空轉(zhuǎn)，電烤箱甚至可以超出標(biāo)稱的額定溫度。

根據(jù)國(guó)家信息安全漏洞平臺(tái)最新公開(kāi)數(shù)據(jù)顯示，截止2017年6月底，共收錄3517個(gè)移動(dòng)互聯(lián)網(wǎng)設(shè)備或軟件產(chǎn)品漏洞，并通報(bào)了多款智能監(jiān)控設(shè)備、路由器和智能移動(dòng)設(shè)備等存在被遠(yuǎn)程控制高危風(fēng)險(xiǎn)漏洞的安全事件。

毫無(wú)疑問(wèn)，智能設(shè)備遭遇網(wǎng)絡(luò)安全攻陷后，最大風(fēng)險(xiǎn)便是服務(wù)端的硬件設(shè)備丟失或云端信息被盜。盡管每一個(gè)智能硬件在出廠前都被設(shè)置有“唯一身份ID”，但開(kāi)發(fā)者若對(duì)“開(kāi)啟設(shè)備”和“存儲(chǔ)數(shù)據(jù)”沒(méi)有任何通訊加密或DDoS防御措施的話，黑客通過(guò)調(diào)試接口直接讀取到明文或者直接輸出至logcat 中，將直接導(dǎo)致用戶身份認(rèn)證憑證、會(huì)話令牌等被輕易破解。

攻防博弈升級(jí)：劫持并控制智能硬件核心

2015年全球黑客大賽GeekPwn在某次開(kāi)場(chǎng)項(xiàng)目中，曾演示過(guò)“黑客”劫持一架無(wú)人機(jī)控制權(quán)的全過(guò)程，這是全球首例完整劫持和控制無(wú)人機(jī)案例。

要黑掉一架無(wú)人機(jī)，先要獲取硬件設(shè)備信息。而無(wú)人機(jī)的硬件型號(hào)及性能信息，主要由負(fù)責(zé)射頻通信的芯片和負(fù)責(zé)邏輯的主控芯片掌握。當(dāng)黑客獲取主控芯片和射頻芯片之間SPI接口的通訊頻率，便能控制邏輯追蹤并解析出二進(jìn)制命令和遙控器工作流程，最終實(shí)現(xiàn)偽造遙控器和信息覆蓋漏洞，從而實(shí)現(xiàn)劫持和控制。

劫持并控制智能硬件核心，智能設(shè)備安全博弈戰(zhàn)正在升級(jí)。盡管芯片商、方案商和硬件開(kāi)發(fā)商早已開(kāi)始布局提升智能硬件“動(dòng)態(tài)博弈”的能力，然而，技術(shù)創(chuàng)新和漏洞防御依然面臨“囚徒困境”。系統(tǒng)級(jí)安全漏洞頻現(xiàn)、管理端通訊加密和加速的應(yīng)用需求，云端webAPI入侵和DDOS攻擊越來(lái)越成規(guī)?；悄苡布_(kāi)發(fā)者面臨著巨大的壓力。

業(yè)內(nèi)首個(gè)漏洞檢測(cè)工具：打響智能設(shè)備安全攻防戰(zhàn)

種種案例表明，開(kāi)發(fā)一款智能硬件設(shè)備，無(wú)論是一款可穿戴設(shè)備，還是大型物聯(lián)網(wǎng)IoT部署，安全是首要考慮的問(wèn)題，防患于未然，進(jìn)行體系化防御和長(zhǎng)期對(duì)抗是解決之道。

打贏智能設(shè)備安全防御戰(zhàn)，首先需要對(duì)黑客的攻擊方法有深刻的理解。百度安全作為國(guó)內(nèi)最早從事智能硬件安全攻防研究的團(tuán)隊(duì)，在智能硬件安全攻防實(shí)踐中具備豐富的經(jīng)驗(yàn)，業(yè)內(nèi)首個(gè)漏洞檢測(cè)工具在這個(gè)背景下應(yīng)運(yùn)而生。開(kāi)發(fā)者點(diǎn)擊：http://w.x.baidu.com/jump/full/201/BaiduIoTScan即可下載。

作為業(yè)內(nèi)首個(gè)智能設(shè)備安全檢測(cè)工具，這款工具特點(diǎn)鮮明：全面開(kāi)放，兼容各類智能設(shè)備；檢測(cè)范圍覆蓋智能設(shè)備常見(jiàn)高危漏洞，可提供一對(duì)一安全檢測(cè)報(bào)告，并提供業(yè)內(nèi)領(lǐng)先的解決方案。未來(lái)產(chǎn)品還將計(jì)劃提供漏洞掃描安全工具鏈和更專業(yè)的滲透測(cè)試、應(yīng)急響應(yīng)等安全服務(wù)。

據(jù)項(xiàng)目負(fù)責(zé)人介紹，工具首個(gè)版本將專注于Android系統(tǒng)智能設(shè)備，18個(gè)常見(jiàn)高危漏洞可供檢測(cè)，DuerOS首批開(kāi)發(fā)者可搶先體驗(yàn)。CVE編號(hào)為“CVE-2016-0805”的智能硬件漏洞，是一項(xiàng)基于Qualcomm ARM 處理器的效能事件管理器組件中的提權(quán)漏洞，它是一個(gè)本地權(quán)限提升漏洞，一旦被利用，攻擊者就可以獲得系統(tǒng)Root權(quán)限，為所欲為。任何Linux內(nèi)核版本低于3.8的系統(tǒng)都會(huì)受此影響，不但有成百上千萬(wàn)PC、服務(wù)器岌岌可危，66％的安卓智能手機(jī)也同樣面臨著麻煩，影響數(shù)億安卓手機(jī)用戶的移動(dòng)安全。

類似對(duì)數(shù)億安卓手機(jī)用戶形成安全殺傷力的漏洞，還有CVE編號(hào)為“CVE-2016-0819”（Qualcomm 效能組件中的提權(quán)漏洞），和“CVE-2014-3153”。后者迄今入侵了超過(guò)100萬(wàn)谷歌賬戶，還在以每日感染13,000個(gè)設(shè)備的速度蔓延，從各類谷歌App中獲取用戶敏感信息。

上述漏洞，均可在工具首發(fā)版本中掃描檢測(cè)出。據(jù)項(xiàng)目負(fù)責(zé)人透露，工具將快速迭代，可檢測(cè)漏洞范圍將逐步擴(kuò)大，未來(lái)將兼容各類智能設(shè)備。

黑客和安全廠商之間的博弈，一直以黑客“行動(dòng)占先”為優(yōu)勢(shì)策略，使得安全廠商“以防為攻”過(guò)于被動(dòng)；當(dāng)安全廠商以“漏洞預(yù)警和滲透測(cè)試”升級(jí)“占優(yōu)策略”之后，游戲規(guī)則發(fā)生根本性改變。AI風(fēng)口在即，新一代安全變革已經(jīng)悄然來(lái)臨。預(yù)警智能設(shè)備開(kāi)發(fā)者即將面臨的網(wǎng)絡(luò)安全、設(shè)備安全問(wèn)題，并提供有效的解決方案，正成為安全廠商新一輪的挑戰(zhàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。