5月11日,备受业界关注的2016年亚洲消费电子展(CES Asia 2016)在上海新国际博览中心正式举行。此次展出的产品包含生活科技、3D打印、智能家居、可穿戴设备、虚拟现实等多种品类。
智能设备真能保护你的安全?
此次会展中智能安防系统、智能门锁、“智慧手镯”、智能摄像头等多种品牌的产品,吸引了消费者观众前去围观。怀着对林林总在产品的好奇,小编对比了云柚、丁盯等几家智能门锁,这几款产品在解锁方式:钥匙开锁、密码开锁和蓝牙开锁上并无太大差异,其中一家展商推出了国内首款虹膜识别的智能锁吸引很多消费者前去体验。
云柚科技的现场工作人员向FreeBuf小编介绍他们的T1智能锁是如何保障安全性的:
采用AES256加密技术,AES256比传统AES128大概需要多花40%的时间,用于多出的4轮round key生成以及对应的SPN操作。但针对具体的AES-256或AES-128的软/硬件依旧存在特定的攻击方式,仍不好一概而论。
除了家居安全,都市女性的“人身安全”也备受关注,听风出品的“安全手镯”引来很多女性同胞排队体验。这款产品作为日常的配饰毫不引人注目,通过手机端设置紧急联系人联系方式,在意外情况下甩动手腕3次便可向联系人发出SOS信息。工作人员向体验的女生们介绍,这款产品还有“随时呼叫男朋友”的功能,通过设定常用手势,平日可随时给男友打电话、发信息。(技术小哥开发时确定不是在虐狗吗?!)
本次展览上最家长们抢眼球的便是机器人了,大部分智能产品瞄准了儿童市场,多家展商带来了为学前儿童设计的机器人宝宝,家长可以通过手机端实时监测孩子的情况,同事机器人宝宝还能陪孩子背古诗,学汉字。妈妈再也不用担心我的学习。
(你瞅啥?)
在CES 展上,360卡防受到了特别关注。小编在现场做了测试,当银行卡接触到NFC装置时,个人信息、消费记录、交易地点将一览无遗。
在将360卡防卡防放置在钱包或衣服口袋后,小编的银行卡得到了安全的保护。
技术人员向小编介绍,当今物联网的混合技术大多包括了移动应用程序、蓝牙、Wi-Fi、zigbee、设备固件、API、以及各种网络协议等。这些技术从独立上来看相对安全且成熟,但是要将这些技术结合应用起来,没有安全贯穿整个应用流程,就会出现众多的安全问题。
小编与现场的十多位参展消费者聊天,当被问及“如何看待智能硬件走进百姓家”时,大部分人将注意力放在产品的使用性能及功能应用给生活带来的便捷上,对于智能设备可能带来的安全隐患并没有足够的意识。
白帽子——全国人民需要你
在会展上,360攻防实验室借此机会发布了中国首份《国内智能家庭摄像头安全状况评估报告》,对国内市场上销售的近百个品牌的家庭智能摄像头进行了安全评估测试。测试结果让人大(xi)吃(si)一(ji)惊(kong),市场上近8成产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。
(图片来源:360提供)
360攻防实验室安全工程师刘健皓介绍:
目前这些安全缺陷的存在让接入网络的智能摄像头可以轻易被不法分子控制,当摄像头与手机进行连接,在没有对手机身份进行验证时,黑客可以通过漏洞用一个虚拟的绑定来查看数百个摄像头的实时画面,对安装摄像头的家庭或公司进行监控甚至网上直播。
在整个N3展厅,汇集了林林总在的智能汽车,众多展商带来了独具一格的概念车,此外还汇集了多种智能安全电子系统汽车。目前大部分汽车在部件上都配有一个控制电脑,一位热心的白帽子向小编介绍:
如果黑客攻破其中任何一个设备,就可以侵入“CAN 总线”,向其他设备发送指令。如果通过 Wi-Fi 攻击,拿到车载多媒体系统的控制权,就可以直接向发动机、变速器、转向器发送指令,从而造成汽车异常加减速、异常转向,从而引发严重的事故。此外也可通过传感器随时捕捉车主的隐私信息。如果这些重要的隐私信息被攻击者拿到,则可能暴露车主的身份,隐私信息或者实时位置。
360互联网安全中心在此次展会上正式启动了旨在关注并推动智能生活安全的HackPWN安全极客狂欢节。从即日起活动面向全球所有白帽黑客开放,邀请有志于“破解”的白帽黑客共同挖掘市场上流行的智能设备和智能系统的安全漏洞,成功破解的白帽黑客将在8月16日中国互联网安全大会(ISC2016)期间举行的HackPWN安全极客狂欢节展示。
去年FreeBuf参与了hackPwn的全程报道,在上一届活动中,白帽子们成功破解了九阳智能豆浆机、SmartCare、TCL智能洗衣机等多种智能产品。
此次展会上,在被问及智能设备的信息安全防护时,大部分展商表示产品安全性能依旧在不断完善中。黑客与白帽子是场不会终止的博弈。
原文发布时间为:2016-05-13
本文作者:FreeBuf