作者:彭昭(智次方创始人、云和资本联合创始合伙人)物联网智库 原创
这是我的第341篇专栏文章。
你还记得前段时间红得出圈的Rabbit R1和AI Pin吗?最近他们纷纷被爆出安全漏洞,令购买者的热情出现了180度反转。
对这两款设备我们还记忆犹新,Rabbit R1拥有触摸屏、旋转摄像头和滚轮等丰富的人机交互方式,可以播放音乐、网上购物、发送信息,甚至还能通过训练,学习操作特定应用。
而AI Pin则被其开发商Humane定位为人们的“第二大脑”,旨在通过创新的硬件交互方式,提供媲美智能手机的使用体验。
然而,安全研究人员近日揭露,Rabbit R1的源代码中嵌入了硬编码的API密钥,这一严重的安全漏洞可能让攻击者轻而易举地访问设备上的所有内容,注意是无死角的“所有内容”,包括设备曾经给出的每一个响应。
而AI Pin在预售期间也因为糟糕的评测结果而折戟,发货后更是无人问津。
Rabbit R1和AI Pin的遭遇,折射出AI大模型智能设备在安全方面的短板是普遍问题。
事实上,安全问题并非AI大模型智能硬件所独有,而是任何新型技术产品必须直面的挑战。过去,许多智能家居和可穿戴设备也曾爆出类似的安全漏洞,给用户的隐私和财产安全带来严重威胁。
让我们一起通过这篇文章,挖掘物联网安全困局的根源,与你分享一些最新的调查统计数据,并将探讨我们是否可以创造一些新的安全解决方案。
智能“后门”?探寻物联网安全困局的根源
这些时刻守护我们家门安全的“智能卫士”,自身是否也暗藏隐患,成为智能“后门”?
智能硬件被入侵的方式不仅是众多,而且是繁多。
智能锁可以解锁房门,让入侵者轻松进入;智能玩具会记录玩家的声音,并在线泄漏记录;智能吸尘器可远程跟踪家居布局或监控房间活动,从而帮黑客规划进一步的活动和行动;家庭网关可以连接到假冒或恶意网站下载恶意软件、窃取个人信息或远程控制连网设备…
最近多款亚马逊上销售的网红智能门铃产品的漏洞被曝光,安全研究人员发现,这些知名品牌的视频门铃产品存在严重的系统漏洞,轻则可能泄露用户隐私,重则可能危及人身安全。
更令人吃惊的是,仅仅通过一个被泄露的设备序列号,不法分子就能神不知鬼不觉地“监守”你家的门庭,窥探你的一举一动。即便你察觉端倪,换了一款新的门铃,对方依然能通过后台漏洞如影随形。
智能可视门铃只是智能设备领域的冰山一角,类似的安全事件正在智能家电、可穿戴设备、车联网等多个细分领域上演。
虽然我们已经习惯了被各种物联网硬件包围,但这仍是个新兴领域,物联网安全问题的根源在于行业生态的不健全。
物联网设备的技术创新固然重要,但安全和隐私保护更应是产品设计的核心要义。遗憾的是,不少厂商受制于研发能力不足、市场压力过大等因素,对产品安全性重视不够,缺乏长远眼光。
与此同时,行业标准和监管体系的滞后也使得问题产品有机可乘。虽然各国陆续出台了物联网安全标准和法规,但在具体落实中仍存在诸多盲区。加之用户安全意识薄弱,维权渠道不畅,不良厂商难以得到应有的惩戒。
针对日益突出的智能设备安全问题,一些国家正在尝试解决。比如,美国联邦通信委员会(FCC)提出创建“美国网络信任标志”自愿性网络安全产品标签计划,旨在帮助消费者选择经制造商认证的可防黑客、诈骗犯和其他网络犯罪分子侵害的智能互联网设备。亚马逊、百思买、谷歌等公司已承诺加入该计划,但具体推出时间尚未确定。
千里之堤溃于蚁穴,这些安全问题有可能成为物联网设备进一步普及的隐患。
IoT企业应对安全挑战的成熟度评估
为了评估IoT厂商在应对安全漏洞方面的成熟度,外媒《消费者报告》开展了一项调查,并设计了一份包含10个问题的问卷,涵盖了理想的漏洞披露计划应具备的关键要素。受访的56家企业的回复为我们提供了宝贵的见解。
调查结果显示,绝大多数厂商(72%)已经为安全研究人员提供了专门的漏洞报告联系方式。
这无疑是积极的信号,表明业界已经意识到,畅通的沟通渠道是漏洞披露机制的基础。
然而,调查也发现,只有66%的受访企业公开发布了正式的漏洞披露政策。
缺乏明确的“游戏规则”,可能会影响研究人员的参与热情和信任度。调查建议,即便是初创企业,也应该尽早制定和发布漏洞披露政策,向研究人员传递开放、负责、协作的态度。
完善的漏洞披露计划,不仅要处理好眼前的单个漏洞,还应具备一定的前瞻性。例如,评估漏洞在产品线中的影响范围,防患于未然;建立漏洞知识库,避免同样的问题反复出现;适当参与外部安全会议、激励计划等,与安全社区保持互动,紧跟形势发展。
调查结果在这些方面也反映出了不同企业的差异。
需要指出的是,漏洞披露绝非单纯的技术问题,也涉及法律和伦理层面。
研究人员应该以负责任的方式开展工作,而厂商则需以开明的态度对待他们的发现。双方在信息发布时间、方式等方面达成共识,避免因理解分歧或处置失当造成不必要的纠纷,甚至法律诉讼。
令人欣慰的是,绝大多数受访企业都明确表示,只要研究人员遵守披露政策,就不会对其采取法律行动。这有助于营造良性互动的氛围。
总的来说,此次调查结果喜忧参半。
一方面,IoT厂商普遍重视漏洞披露工作,并采取了一系列积极举措。
另一方面,在披露政策的完善性、对研究人员的激励保障等方面,仍有很大的提升空间。
希望这份调查的结果能引发业界对漏洞披露机制的更多思考,推动形成更加成熟、规范、可持续的最佳实践。
DePIN或将为IoT安全插上创新之翼
物联网设备的安全问题已经成为全球关注的焦点,而建立健全的漏洞披露机制则被视为应对之策的关键一环。
尽管目前行业内已有相当一部分企业采用了漏洞披露计划,但仍有很大的提升空间,尤其是在智能门锁、智能摄像头、安防系统等直接关乎消费者物理安全的产品领域。
在探索物联网安全解决方案的过程中,去中心化物理基础设施网络(DePIN)为业界提供了一些有益的思路和启示。
区块链技术所具有的不可篡改、可追溯等特性,可以用于构建IoT设备的身份认证、访问控制等安全机制,提高设备抵御网络攻击的能力。
基于区块链的智能合约则可实现IoT设备间的可信交互与协同,降低对中心化平台的依赖,从而缩小系统的攻击面。
DePIN倡导的社区协作治理模式,鼓励所有利益相关方共同参与安全治理,将有助于加快漏洞发现和修复的速度。
DePIN所构建的分布式物理基础设施,也为IoT设备的安全管理提供了新的可能,比如利用区块链构建设备的“身份档案”,便于跟踪其软硬件版本和漏洞修复情况。
此外,DePIN的去中心化网络架构,可以有效避免单点故障,提高系统的鲁棒性和容灾能力。
分布式的数据存储和计算模式,也使得物联网数据的隐私保护和主权控制成为可能。基于DePIN平台构建的IoT应用,将更加安全、可靠、高效。
当然,DePIN能在多大程度上助力物联网安全,还有待在实践中进一步探索。
作为一种全新的技术范式,DePIN为业界带来了创新思路,但要真正补齐IoT企业在漏洞治理中的短板,还需要企业和整个行业持之以恒的努力。
写在最后
这些事件无不在警示我们,智能设备的安全问题已经到了刻不容缓的地步。提升智能设备的安全,需要产业链各方倾力协作,尤其离不开制造商的高度重视和持续投入。
与此同时,我们是否也可以探索一些创新的安全解决方案?
比如,利用区块链技术构建一个去中心化的物理基础设施网络DePIN,通过分布式账本、智能合约、数字身份认证等机制,从底层重塑IoT系统的可信基础,让每一个接入的终端设备都能获得可验证的安全保障。
这也许为智能设备的安全难题提供了全新的思路,但物联网安全的未来,终将由每一个参与者共同书写。
参考资料:
These Video Doorbells Have Terrible Security. Amazon Sells Them Anyway,来源:consumerreports.org
Who Ya’ Gonna Call? Why IoT Companies Should Embrace Vulnerability Disclosure Programs,来源:consumerreports.org
Going Down a Rabbit Hole to Jailbreak the R1,来源:hackster.io
原文标题 : 物联网安全,老生常谈还是创新前沿?DePIN提供新思路
