智能锁并不安全

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟,研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”,该公司确认了这个安全漏洞,并称其准备发布一项“重要的安全补丁”。

据称,不需要什么技术或知识,任何拥有智能手机的用户,都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题,设备的解锁键很容易被发现,因为它是由锁的蓝牙低能量ID广播而生成的。

另外,安全锁可以通过智能手机进行管理,因此也可以被远程打开,让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间,以便其纠正这一安全问题,然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告,以便及时更新APP,修复安全漏洞。

这起事件之所以能够发生,原因并不意外。

粗心大意,不仔细,自由散漫,缺乏对安全威胁的敏感度。

为什么这么说呢?

高科技公司制造指纹安全锁,从名字上看,似乎是可以提升安全性的,但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞,这不是好笑么?为什么其他安全人员都能在45分钟内想到破解方法,而科技公司里大把人,很长时间却没有认识到呢?他们没有足够的发现安全问题的天赋?没有这么简单,别人一指出问题,他们就理解了,说明他们并不笨,而是他们不够尽心,不够尽职尽责!

从这起事件中,我们能得到什么安全教训呢?

及时修复安全漏洞(弱点),降低被他人恶意攻击和利用的机会。

看到这则新闻,国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾,同时也表示:纯民间的漏洞平台控管不够,对于国家安全是一项威胁,这是不争的事实。重点在于很多安全弱点需要被及时发现,并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放,而安全专家们也出于对自身的保护,不愿向官方提供自己的发现。这就让很多被国内安全人员们(及黑客们)探测出来的系统漏洞不能被及时通报、修复和公开,而被一波一波地私下利用。

最后,让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代,各种联网小玩艺儿越来越多,中国创制的ioT设备安全问题更是不容忽视。因为总体来说,比起英国来讲,我国工业化和信息化起步较晚,国民普遍的安全意识更为落后,中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性,并不仅仅是培训一些设计研发人员就可以搞定的,这是一项关系到全民安全素质的工程,需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升,欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机/微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

让物联网信息安全走出“先污染后治理”的老路

仅在过去的一年里,在包括可穿戴技术和相关领域内的创新引发了互联网连接设备的热潮。汽车电子可以自行诊断汽车的健康状况,并且发送电子邮件提醒主人所需要的保养维护服务。保健设备更是能够测出人们的心脏速率和血糖水平,并让人们通过网络进行健康跟踪。整体世界中的物体和人体都在通过网络进行着相互的关联。这种科技演进并不没有放缓的势头,也为消费者的隐私和网络安全带来了重大的风险隐患。

我们很容易认识到计算设备相互连接所能带来的益处,尤其当我们享受着信息化带来的生活便利的时候,科技革命真的在为人类的进化造福。同时我们也注意到阴暗的一面,六亿网民五亿移动互联网用户每天面临着数百万的电信诈骗和千万计的互联网入侵企图,而大型的网络黑客事件总是不绝于媒体和人们的视线。

尽管如此,除非亲身经历,人们不会轻易相信灾难会到自己的头上。终有一天,我们的吃穿住行受到影响,黑客窃取了我们的身份,曝光了我们的隐私,侵入了我们的生活,夺取了我们的财产,我们才会翻然悔悟,才能开始注重网络安全。

如同为了迎接工业革命时代的到来,各地“先污染,后治理”一样,在移动互联网和物联网时代,我们也要“先被黑,再安全”吗?要知道,这样不仅会让大量社会财富流向那些恶毒的地下黑产,更是在造成社会资源的浪费。

如何防范物联网产业重蹈“先污染后治理”的覆辙,防止产品开发和设计者走向歧路呢?昆明亭长朗然科技有限公司物联网行业观察员董志军表示:除了进入关键的涉及国家安全的重点监管领域之外,这完全是个开放竞争充满活力的产业,不过同时可以想像这里面的鱼龙混杂局面,尤其是在产业发展初期,混乱似乎是难以避免的。

对于那些想迅速占领市场的物联网厂商,无疑需要在功能性能和价格上进行比拼,安全肯定不会被排到重要的优先级。特别是在没有产业标准的时候,某个产品可能会风光一时,同时也能埋下深深的隐患。

而中国的多数消费者对同类产品往往只关注价格,特别是在功能性能相比相关不大的情况下,这显然在客观上助长厂商想出歪门邪道。激烈的竞争使厂商在设备上无法赚钱,只能靠掌握用户的使用信息,并将这些信息变成收入。

为无疑会造成消费者和正直商家的双输,进而一遍一遍地上演“劣币驱逐良币”的故事。如何解决这个事儿呢?靠政府早日出台安全标准规范那是一个路子,不过就政府的办事效率来讲,这个路子只适合步调永远慢几拍的落后人群。昆明亭长朗然公司董志军说:对积极的潮人和主流人群来讲,只有一个正确的选择,那就是不选最便宜的,选择安全功能和特性完备的。因为这类厂商是负责任的厂商,有一种所谓的工匠情怀,值得信任,值得我们多付出一些钱。

只有当消费者特别是潮人消费者们注意了信息安全功能之后,物联网厂商们才能在这上面加强投入和拼比,大众消费者才能真正享受到实惠,物联网行业信息安全才能走出“先污染后治理”的老路。

多年前,在软件开发领域,有一个“安全内嵌”的提法。从产品的前期功能需求调研阶段便将安全特性考虑进去,在设计、开发、测试和维护等等产品的“生命周期”阶段更是时时处处考虑安全。我想如果物联网设备和相关的厂商能够做到这一点,让安全真正能够做到“内嵌”的话,不仅能够获得消费者的信任和青睐,更能及早建立起行业规范,在不断造福人类的同时,弘扬社会正气。

保障物联网安全,除了要求物联网厂商保障设备和系统的安全功能之外,更需要精明的会使用这些安全功能特性的用户。用户如果出于无知、懒散或放弃行使安全保障权力的话,无疑就是在变相帮助网络犯罪分子和不良厂商,更会影响其他潜在用户对物联网安全性的信心。所以,要维护物联网行业信息安全,必须加强对用户们进行安全意识教育和安全技能培训。一方面需要向人们展示物联网设备和系统的安全功能,另一方面也需要向人们宣传正确的使用方法和理念。昆明亭长朗然科技有限公司是计算机信息安全意识教育方面的专业服务机构,欢迎和我们探讨任何与安全教育相关的话题。您可以访问我们的在线信息安全培训系统,来体验我们的安全意识教育内容服务。

internet-of-things-safety

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898