11月29日,小米IoT(物联网)安全峰会在北京举行,峰会主题是“万物互联·共筑生态安全”。在圆桌论坛中,与会专家就安全意识进行了探,并剖析了物联网面临的安全问题。
安全意识有,但对安全缺乏感性认识
“过去,大家不知道安全人员在做什么,他们的价值是什么。”GeekPwn创始人王琦说,现在,大家意识到了安全问题的存在,认可了安全人员的价值,安全的环境越来越好。他表示,目前,物联网安全问题和过去PC时代遇到的问题一样,都是大家的安全意识不足导致的。
PC时代遇到的安全问题,起初的安全意识不足是一种原因,忽视安全投入也是一种原因。如今,物联网的安全问题亦是如此。
移动安全联盟秘书长杨正军表示,物联网行业的市场生态刚推起来,企业在抢着占领市场入口,对于安全的重视和投入还不高。
他举例说,以智能音箱为例,可能是出于稳定性、适配性的考虑,其安全和传统手机差很多。“我们曾对十几个智能音箱做过评测,结果发现,智能音箱的安全水平都差不多。”他解释说,一方面,90%智能音箱的芯片来自同一家供应商,安全防护处于同一水平,还有,智能音箱的市场还未饱和,甚至可能是智能设备市场的入口,企业都在争市场,安全不是第一步要考虑的。
于旸说,如今,安全的启蒙任务可能完成,但大家还没有真正认识安全、重视安全。“大家知道安全问题比较重要,但是没有感性认识。”他比喻道,就像有一杯热水,你告诉小孩这杯水很烫、不能碰,但小孩从来没有碰过热水,也看不出如热水杯和旁边的杯子有什么区别,为什么不能碰,“小孩对热水没有切身体会,没有感性的认识。”他强调说。
于旸以其自身体会说,他接触到的一些一线技术人员、甚至是主管安全的人员对安全的认知还是不到位。除此之外,中国在安全上的投入跟欧美比,还是差很多。欧美国家在安全上的投入已经达到10%以上,而我国经过十几年的安全发展,安全成本的投入还是在3%左右。
“我相信很多厂商都会有安全意识,但是因为成本问题往往会选择忽略安全。”小米IoT平台部总经理范典表示,“过去的山寨手机,手机卖出去坏了就坏了,大多传统硬件厂商没有动力提供升级服务。”
范典呼吁,希望每一个厂商都能够在安全机制上能够多一分考虑,多一分投入,多一分努力,促进整个物联网行业的安全与发展。
技术层面的安全意识缺失
像于旸所说,在意识层面,行业还没有真正地认识安全、重视安全。同样在技术层面,也存在认知不足的地方。
杨珉表示,很多厂商的安卓系统,包括IoT设备,都是在谷歌原生安卓系统上的定制。
在安全设计上,安卓原生系统是基于权限的访问控制机制,很多系统级别的敏感权限、敏感数据会通过显性的文档、固定API(接口)的方式,向开发者、用户说明。但是,他强调,一个系统所承载的敏感性资源远不止显性的内容,还有大量的隐性内容涉及安全,而这些隐性的安全机制缺乏很好的实践。
他还表示,这些隐性的安全机制对于厂商来说,就是灾难。很多厂商根本就没有意识到原生系统存在隐性的安全机制,再加上,厂商根据自己的需求裁剪原生系统,甚至在系统级服务上增加功能,这些裁剪、添加在设计时没有从安全结构上进行考虑,缺失的地方往往成为攻击者触发、利用的点(漏洞)。
杨珉还表示,安全的概念很大,漏洞之外的概念就是隐私保护。
对于物联网涉及到的隐私安全,范典表示,随着物联网的发展,人们身边的传感器会越来越多,被收集到的数据也越来越多,以前只是上网浏览的信息被收集,在物联网的环境里,信息边界扩大了很多,这变得容易引起人们的争议,比如摄像头直播引发的争议、人们担心智能音箱变成监听器引发的恐慌等。他强调说,“当物联网设备因隐私问题引发争议时,一些提供服务的厂商还没有准备好(怎么面对)。”
文/南都个人信息保护研究中心研究员 尤一炜