智能時(shí)代，安全問(wèn)題面臨新威脅

進(jìn)入信息新時(shí)代，除了人工智能以外，最近，有兩個(gè)話題很活躍。一是隨著5G時(shí)代的到來(lái)，物聯(lián)網(wǎng)已經(jīng)和我們?cè)絹?lái)越近。二是蘋(píng)果新品發(fā)布iPhone X，新功能“Face ID”讓人們驚嘆刷臉時(shí)代的來(lái)臨。

期間，隨著物聯(lián)網(wǎng)、生物識(shí)別信息等新技術(shù)的興起和由此帶來(lái)的產(chǎn)業(yè)變革，信息安全問(wèn)題日益凸顯，信息安全正在告別傳統(tǒng)的病毒感染、網(wǎng)站被黑及資源濫用等階段，邁進(jìn)了一個(gè)復(fù)雜多元、綜合交互的新時(shí)期。一起看看國(guó)外媒體如何看待這個(gè)問(wèn)題。

刷臉時(shí)代，不得不面對(duì)的安全問(wèn)題

對(duì)于果粉來(lái)說(shuō)，今年秋季蘋(píng)果的新品發(fā)布會(huì)是值得期待的，這次發(fā)布的iPhone X采用幾乎覆蓋整個(gè)正面的全面屏，而且沒(méi)有了Home鍵，解鎖手機(jī)就靠面部識(shí)別。蘋(píng)果對(duì)iPhone X使用的面部識(shí)別取名叫“Face ID”，在開(kāi)鎖時(shí)用戶只需要看著手機(jī)，就能實(shí)現(xiàn)“刷臉”解鎖和支付。

對(duì)此變化，質(zhì)疑聲隨之而來(lái)。據(jù)外媒報(bào)道，一位來(lái)自美國(guó)參議院的隱私部門(mén)官員表示，希望蘋(píng)果公司能夠?qū)@一技術(shù)進(jìn)行詳細(xì)的說(shuō)明，解釋它究竟是怎樣工作的。其中最重要的一個(gè)問(wèn)題就是，蘋(píng)果是否會(huì)通過(guò)面容 ID 功能來(lái)收集用戶的面部信息，造成數(shù)據(jù)的濫用。

蘋(píng)果軟件部門(mén)高級(jí)副總裁Craig Federighi 在接受TechCrunch 采訪時(shí)表示：“我們不會(huì)收集用戶的數(shù)據(jù)。在使用面容ID 功能時(shí)，一切的信息數(shù)據(jù)都會(huì)保留在用戶自己的設(shè)備之中，我們不會(huì)把它們上傳到云端進(jìn)行更深度的信息識(shí)別訓(xùn)練?！?/p>

同時(shí)，蘋(píng)果方面也對(duì)前面那位參議員的要求作出了書(shū)面回應(yīng)：通過(guò)TrueDepth攝像系統(tǒng)和最新的A11 仿生芯片，蘋(píng)果的面容ID 功能可以實(shí)現(xiàn)安全而直接的面部識(shí)別，對(duì)用戶的面部數(shù)據(jù)進(jìn)行精準(zhǔn)的識(shí)別和匹配。一方面，面容ID 數(shù)據(jù)永遠(yuǎn)不會(huì)離開(kāi)用戶的設(shè)備，它們會(huì)由“安全區(qū)域”進(jìn)行加密和保護(hù)。另一方面，目前，已經(jīng)對(duì)來(lái)自不同的國(guó)家和地區(qū)、不同種族文化的用戶進(jìn)行了面容ID 功能的測(cè)試。在對(duì)超過(guò)10 億張人像進(jìn)行神經(jīng)網(wǎng)絡(luò)方面的深度學(xué)習(xí)之后，可以很好地防范各種欺詐行為。

盡管如此，在面對(duì)新事物的時(shí)候，擔(dān)憂和質(zhì)疑也是難免，網(wǎng)友的評(píng)論一浪接一浪?！耙院笈笥炎屛?guī)涂纯催@件衣服怎么樣，我一瞅屏幕，支付成功了”“半夜老婆趁我睡覺(jué)解鎖手機(jī)怎么辦”，甚至，為防止晚上睡覺(jué)被盜刷，一款售價(jià)28元的淘寶防面部識(shí)別解鎖面罩已經(jīng)在朋友圈流傳。

人們的擔(dān)憂雖然有調(diào)侃的成分，然而，卻并不是杞人憂天。指紋、虹膜、面部識(shí)別等生物信息具備唯一性，它們被盜用可能比傳統(tǒng)的密碼盜號(hào)方式影響更大。所以，不僅僅網(wǎng)友們熱衷討論此事，專家也早已提出他們的擔(dān)憂。

曾經(jīng)，在USENIX 安全論壇上，來(lái)自北卡羅萊納大學(xué)的研究人員展示了他們的3D 臉部建模系統(tǒng)。使用這套系統(tǒng)，研究者們可以直接從 Facebook、 Google + 等社交網(wǎng)絡(luò)上獲取任何人的照片素材，并利用其在 VR 環(huán)境中建立 3D 模型，對(duì)面部識(shí)別系統(tǒng)進(jìn)行解鎖。

在這次試驗(yàn)中，研究人員共測(cè)試了 5種來(lái)自 iOS 與 Android 平臺(tái)上的刷臉解鎖軟件，選取了 20 名志愿者并在其社交網(wǎng)絡(luò)上挑選 3 到 27 張不等的照片用于建模。最終結(jié)果顯示，5 個(gè)產(chǎn)品中只有 1 個(gè)破解效果不理想，其余 4 個(gè)則有 55% 至 85%的解鎖率。

當(dāng)時(shí)，專家指出，一般來(lái)說(shuō)，防騙性能比較差的面部識(shí)別，用普通照片與視頻就可破解。研究者首先會(huì)使用軟件分析社交網(wǎng)絡(luò)上的照片的面部關(guān)鍵特征，利用標(biāo)記的關(guān)鍵點(diǎn)進(jìn)行建模。經(jīng)過(guò)一系列的努力，再把模型放入手機(jī)端的虛擬現(xiàn)實(shí)系統(tǒng)中，可以讓頭部模型自然地活動(dòng)，并展示深度信息。然后，相對(duì)弱的刷臉解鎖軟件就會(huì)把這個(gè)手機(jī)屏幕上的 3D 模型誤認(rèn)為是真人。不過(guò)，密歇根州立大學(xué)教授 Anil Jain表示：先進(jìn)的傳感器和識(shí)別機(jī)制可以解決這個(gè)問(wèn)題。比如，若采用人臉的紅外信號(hào)，這種 VR 3D 模型顯然很難復(fù)制。所以，當(dāng)iPhone X開(kāi)始大規(guī)模使用時(shí)，F(xiàn)ace ID技術(shù)是否足夠安全和便捷目前還不得而知。但是，不容置疑的是，隨著刷臉時(shí)代的到來(lái)，需要接受的考驗(yàn)第一關(guān)就是安全，并將迎來(lái)越來(lái)越先進(jìn)的刷臉設(shè)備，以保護(hù)我們的信息安全。

物聯(lián)網(wǎng)時(shí)代，藍(lán)牙傳輸?shù)膰?yán)重漏洞

美國(guó)時(shí)間 9 月 12 日，物聯(lián)網(wǎng)安全初創(chuàng)公司 Armis 在官網(wǎng)上公布了一種新型物聯(lián)網(wǎng)攻擊手段:BlueBorne。幾乎所有聯(lián)網(wǎng)設(shè)備都可能受其威脅。只要目標(biāo)設(shè)備擁有藍(lán)牙功能，BlueBorne 攻擊手段就不需要目標(biāo)用戶進(jìn)行任何交互操作，不需要任何的前提條件或配置，就能對(duì)目標(biāo)設(shè)備進(jìn)行空中攻擊。而且，支持藍(lán)牙功能的設(shè)備會(huì)不斷地從周圍搜尋可接入的連接，而不僅僅是那些已經(jīng)配對(duì)的連接。

“這些沉默式的攻擊對(duì)于傳統(tǒng)的安全控制和程序是不可見(jiàn)的，公司不會(huì)在環(huán)境中監(jiān)控這些類型的設(shè)備到設(shè)備的連接，所以他們看不到這些攻擊或阻止他們?！盇rmis CEO Yevgeny Dibrov在一份聲明中表示，“這項(xiàng)研究說(shuō)明了我們?cè)谶@個(gè)新的關(guān)聯(lián)時(shí)代面臨的各種威脅?！?/p>

據(jù)DeepTech報(bào)道，BlueBorne是利用 8 個(gè)藍(lán)牙傳輸協(xié)議漏洞（Bluetooth）對(duì)設(shè)備進(jìn)行空中攻擊和傳播的。Armis 這次披露的漏洞能影響運(yùn)行在 Android、Linux、Windows 操作系統(tǒng)上的所有設(shè)備，還包括 IOS 10 之前版本的所有設(shè)備。這意味著幾乎所有運(yùn)行在這些操作系統(tǒng)上的電腦、移動(dòng)設(shè)備、智能電視或其他物聯(lián)網(wǎng)設(shè)備都面臨著這 8 個(gè)漏洞中至少一個(gè)的威脅。

“這些沉默式的攻擊對(duì)于傳統(tǒng)的安全控制和程序是不可見(jiàn)的，公司不會(huì)在環(huán)境中監(jiān)控這些類型的設(shè)備到設(shè)備的連接，所以他們看不到這些攻擊或阻止他們?！?/p>

——Armis CEO Yevgeny Dibrov

Armis 的研究人員還擔(dān)心，這次發(fā)現(xiàn)的漏洞只是冰山一角，藍(lán)牙傳輸協(xié)議里還存在著大量尚未被發(fā)現(xiàn)的漏洞。建議 Windows 用戶和 Linux 用戶查看最新最準(zhǔn)確的安全更新信息。安卓用戶可以去Google Play 上下載 Armis 開(kāi)發(fā)的 BlueBorne Scanner 應(yīng)用。IOS 用戶應(yīng)該將系統(tǒng)版本升級(jí)到 IOS 10。

不僅如此，包括許多藍(lán)牙智能鎖也都存在安全缺陷，會(huì)被非法用戶打開(kāi)，但問(wèn)題并不出在藍(lán)牙標(biāo)準(zhǔn)本身，而出在它們實(shí)施藍(lán)牙標(biāo)準(zhǔn)的方式上。

去年，據(jù)TomsGuide網(wǎng)站報(bào)道，一名安全研究人員在DEF CON黑客會(huì)議上表示，許多藍(lán)牙LE智能鎖都會(huì)被攻破，被非法用戶打開(kāi)，但相關(guān)廠商似乎無(wú)意采取什么措施。

電氣工程師安東尼·羅斯(Anthony Rose)表示，在他及其同事本·拉姆齊(Ben Ramsey)測(cè)試的16款藍(lán)牙智能鎖中，在遭到無(wú)線攻擊時(shí)12款會(huì)被打開(kāi)。羅斯表示，“我們?cè)谒{(lán)牙智能鎖中發(fā)現(xiàn)了安全缺陷，然后與相關(guān)廠商進(jìn)行了聯(lián)系，廠商似乎對(duì)此無(wú)動(dòng)于衷。我們與12家廠商進(jìn)行了接洽，只有一家有回應(yīng)，‘我們知道這是個(gè)問(wèn)題，但我們不會(huì)修正它?！?/p>

問(wèn)題不在于藍(lán)牙LE協(xié)議本身，而在于這些智能鎖實(shí)施藍(lán)牙通信的方式，或配套的智能手機(jī)應(yīng)用。例如，4款智能鎖以明文方式向智能手機(jī)傳輸用戶密碼，使得任何用戶都可以利用價(jià)值100美元(約合人民幣666元)的藍(lán)牙嗅探器方便地截取密碼。

所以，正如DeepTech報(bào)道的那樣，“傳統(tǒng)的安全措施只能阻止通過(guò)互聯(lián)網(wǎng) IP連接進(jìn)行傳播的黑客攻擊。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的不斷增長(zhǎng)，我們迫切需要新的解決方案來(lái)應(yīng)對(duì)這種新型物聯(lián)網(wǎng)空中攻擊手段，特別是那些要將內(nèi)網(wǎng)進(jìn)行物理隔絕的機(jī)構(gòu)。”

（本文根據(jù)TechCrunch、DeepTech、TomsGuide等匯編；整理/陶春）