Article Learn

2019小米IoT安全峰会-孟卓《The Game of Life》

Post by Pa0er at 2020-01-02 14:01:18

此次大会的第五个重磅议题来自小米AIoT安全实验室负责人-孟卓,他给大家带来的议题是《The Game of Life》。

图灵曾经说过,他在破解密码机的时候说用机器学习对抗机器,用人是对抗不过的,所以导致了计算机的诞生,产生了用计算机解决一些人类难以解决问题的思路。我认为物联网其实就是把咱们人和现实生活做一个数据化,用程序的思维解决很多生活的难题,提升生活的品质,可以将现在强大的AI计算能力运用到现实生活中的桥梁。算法是虚拟的,它怎么对现实生活产生影响,进行帮助呢?就是通过物联网。

目前小米IoT平台已经接入了2200多款产品,一个IoT平台不是它的产品品类越多越成功,这是一个误区,还有什么很关键的因素呢?我觉得是智能联动的场景。只要接入到米家的产品,它们的数据和状态是可以共享的,可以自动的协调影响其它设备,让其它设备作出响应。智能联动有很多触发场景,比如条件触发,如果外面空气不好,屋里的空气净化器会自动启动;还有定时触发;还有状态触发,如门窗开启、关闭等;还有体征触发,体征这种生物特性是未来应用比较广的,现在支付宝用的人脸支付特别的方便,甚至连手机都不需要。还有一个比较好的方向就是动作,回到家之后用手在空中画一个圈家里的灯具就启动了,出门的时候手再画个半圈,这些灯就关掉了。

那么国内的物联网发展这么长时间了,现在到底处于什么样的水平?到达了什么样的高度?我自己是有些想法的,这些想法不代表公司,接着跟大家分享一下怎么判断物联网发展到了什么阶段。

首先,联动能力的一维联动,比较早期的物联网产品,手机通过互联网控制灯泡,是远程的开关。打开、关闭,这个之前被用户诟病了很久,后来变成了语音。二维联动是多设备联动,如果环境里有其他动作,设备就做相应的变化。如果摄像头发现有可疑人物移动就跟踪拍摄或者发出报警等,如果发现我睡着了就关灯,这是二维联动的场景。

我个人认为在家用消费级的IoT产品中做到三维联动就是比较理想的状况了。我之前看过一些畅想,比如你家里的冰箱是有摄像头的,它能够知道你的冰箱里缺少什么食物,比如我缺少肉类,它会自动给商家下单,下单的时候会记录商品的保质期,哪个快过期了就会提示用户把它扔掉。现在小米也尝试做身份识别,比如说智能门锁,我可以录入家庭成员的不同指纹,男主人回家识别指纹时启动一套适用于男主人的场景,女主人回家是另一套场景,老人、孩子是另一套。还有摄像头,它可以通过AI能力分析人脸,分析你是谁。比如男主人回家时摄像头拍到人脸,摄像头发现情况不对,通过app发个信息说男主人带了一个陌生的女主人回家,请你回家看看是什么情况。之后会有身份认证的场景慢慢实现,再更高一些的维度是智慧城市,但是这个里面的畅想空间太大了,不是家用消费级产品能够覆盖到的,这是一个无限畅想的空间。现在国内的IoT水平处于2.5维的位置,正在朝着三维的联动去努力。

简单介绍一下我个人对IoT发展的一些感受,小米面对的IoT挑战是非常大的,因为它的场景是目前中国物联网,甚至全球物联网独一无二的,它接入了2000多款设备。面临的安全问题分为前半程和后半程,前半程是产品未上市之前公司要做的安全事情,比如合规要求、标准要求。发布之后会进入后半程的挑战,要保证在非常长的生命周期里,依然能对产品进行支持和安全响应。但是很多产品发布之后可能过了两年左右就会进入生命周期的末期,这个时候如果出现了安全漏洞都没办法及时响应或者修复,这个挑战对硬件厂商是非常大的,会耗费大量的人力和财力。我也常在想未来我们要做哪些事情,更要关注哪些点。

目前,很多用户都是缺乏安全感的,有一个小细节就可以体现,无论买多少钱的手机,大家做的第一件事就是买一张手机膜,再买一个手机壳,前后一套,手机变得又大又笨重。80后可能有印象,小的时候家里用黑白的电视机,家长还会套一个电视套,空调还有空调套。我们对比较新兴的电子产品很缺乏安全感,很怕它损坏了。

简单介绍一下现在在IoT中用户感觉到缺乏安全感的一些点。

很多漏洞演示和比赛会给用户造成一定的恐惧感,比如接入你家的wifi或者控制你的账号。比赛往往会忽略这种内容的体现,给人很可怕的感觉,但多数漏洞在现实生活中还是挺难攻击的。

今年比较火的门上贴的智能门铃,它是贴在门外公共区域的,这是会有一个新的安全场景问题。如果有人把这个门铃拆下来,通过技术手段还原你家的wifi密码或者账号信息,这是比较新的场景。

还有各种各样的调试后门,这是硬件产品很难绕过去的难关。硬件产品由于维护、调试的压力,一定要留调试串口或者接口,但是这种东西留下来,如果方式使用不当便可能被攻击者利用。这种后门会给用户带来很多的疑惑,他会质疑你的目的到底是什么。

还有数据会不会被泄露滥用的问题。给大家说一个门锁的场景,过去两年智能门锁应用爆发,我们IoT平台相关的团队做了一些数据调查,数据整理出来看到还是很惊人的。现在很多门锁都支持刷卡,NFC开锁,现在市面上绝大多数采用的是M1卡或者ID卡。有一种比较安全的方案是采用CPU卡,智能卡,这里面是有程序的,在NFC通电的时候会计算出一个安全密钥。我们团队做调查的时候了解到现在中国做智能门锁的企业有1300多家,这些企业做了2000多款智能门锁产品,而用了比较安全的CPU卡方案的厂商可能只有1%,而且这五家里有一半的厂家是小米的生态链企业。大家并不是不知道这个M1卡、ID卡不安全,但是没有办法,因为这里有很高的行业壁垒,不是换一个硬件解决方案就可以,背后一定要有金融服务企业做支撑,才能做CPU卡的方案。

我们也想了一些解决方案去更好地保障产品安全,提升用户安感。我们不仅需要满足每款新出产品的前半段安全,2200款产品卖出去后的后半程安全,也需要保障,用人已经是不现实的问题,我们便打造了智能化的IoT检测机制。

还有一个问题,我们做IoT安全时,得罪了不少生态链企业,也包括自己的兄弟部门,测一款产品的时候我们的要求非常高,产品离发布又很近,做修复会增加成本,他们本来的心态希望我们能够网开一面,因为毕竟公司奋斗了两年就为了发布这一款产品,但是却遭到了我们的拒绝。很多生态链企业不理解,为什么安全要卡我们?刚才也提到了联动的场景,在我们眼中,安全保障要做的是保证每个用户家庭里智能联动场景的安全。每一款生态链企业的设备都是场景中的一个节点,它有自己的角色,每一款设备都可以影响到你整个家庭智能和的实践安全。我们要求每一款接入米家生态的产品都要满足安全门槛,保证用户的家庭安全,同时对其他家做的比较好的优秀生态链企业的负责任。

比如刚才提到的门锁问题,大家听起来可能有点担忧,原来这么多的智能门锁还用的M1卡这种比较不安全的方案,听起来不知道该怎么办。目前,我们的IoT平台已经主动建立了一个NFC安全开锁联盟。首先打破各家壁垒,比如未来无论哪家的锁加入到这个联盟中,可以做到80%以上的手机都可以自由的开这个锁,而且是用CPU卡比较安全的方案。目前国际国内比较主流的厂家的后续合作都在洽谈中,相信这一天也会很快到来。

我们后面的一些目标其实是加强内部的赋能,加强对行业的赋能,给用户创造一些更多的安全感。

因为小米一直尝试做ToB的市场,我们想了解一下商业级的物联网设备的安全性处于什么阶段。偶然的一个机会,我们接受到一个邀请,有一家公司建成了非常智慧化的园区,用了大量的物联网设备,但是他们很担心园区有没有可能被人偷看、偷听,甚至对园区成员造成人身安全上的影响。我们承接了这个项目,正好一个园区很像一个放大版的家庭,它里面有各种各样的智能设备。比如这个园区有智慧车库的模块、有智能安防摄像头、灯窗、水电、展示、智慧食堂,我们发现每个模块都有问题,最后找出路线串出来一个比较震撼的场景。

这里插播一个游戏叫看门狗,这个游戏颇有点讽刺的意味,它用很超前的思路在讽刺信息战、物联网络安全或者物理攻击等等这种场景。因为现在的电子游戏被大家戏称为第九艺术,之前传统的艺术都是很传统、很固定的,可能真的很古板,很享受,但是我们只能默默感受。但是游戏可以影响主角的剧情发展,导致最后的结局都是可以根据心情改变的。我发现做完安全园区的安全评估之后,它跟游戏里面很多场景非常相似,因为游戏可能要夸大效果,用一些很前卫、科幻的效果去弄一种很浮夸的游戏场景。我忽然发现这个场景太现实了,现实生活中已经出现了,我后面做了一些对比。

首先,我们第一步要进入到园区内部,没有工卡进不去,而且园区外面和一楼都有保安把手。于是想试试车库系统的智慧车库,我们发现有一个比较简单好用的漏洞,通过这个入口“杀”入了园区。在游戏场景里,它的理念是主人公可以开任何的门禁、大门、车辆的抬杆等等。我们在园区里面发现了一个一模一样的场景,我们通过漏洞直接写入一个车牌号,进入智慧车库系统中,做一些录入让摄像头认为这是合法的车辆,让陌生车辆肆无忌惮地开进去。

进入到车库后还有一个问题,园区的地下车库也是有门禁的,CPU卡的安全级别很高。本来想采用尾随的办法跟着员工进到园区,结果发现中了彩票。在一个大红圈的地方发现这个门是虚掩的,这是非常严重的管理漏洞,可能前面的人没关上或者有人故意给其他同事留了门,我们就直接进入园区内部了,直达工区,通过尾随的办法进入到办公区环境。进入以后发现有很多信息大屏,里面有网线的,接入自己的4G路由器上进入网络,通过网络继续对园区进行控制。

第二个场景进来之后有一个问题,处处都是摄像头,游戏里的主人公黑了智慧城市的摄像头系统,把自己的一些信息进行打码。他对自己做了马赛克处理,而其他人是很明显的,就算监控拍到他做坏事,别人也不知道这个人是谁。我们利用同样思路去看了一下园区的安防摄像头系统,发现了一些类似的问题,也是做到了隐身的效果

最后的结果我们是想对这个园区做一个影响非常大的攻击,比如制造一个混乱,在非常庞大的园区里面制造一个混乱之后,可能造成人员的紧急疏散,逃离会非常乱,甚至产生踩踏事故,造成人员人身伤亡。游戏里在高速路的入口会有信息广告大牌,这个主人公也是可以黑掉的,我们想到了类似思路。因为智慧园区里也有非常多的信息广告牌,不光能放图片,还能播放视频和声音,我们利用这套系统的安全问题做了一个演示。由于担心真的对园区的使用造成困扰,造成安全的风险,我们都是拆回来放在自己的办公区实现的。可以造成攻击的信息大屏同时显示警报信息,同时还会伴有非常大,非常急促的报警声音,你可以想像在好几栋楼,每栋楼十几层,同时响起,这是非常恐怖的效果。

一半游戏,一半现实,往往分不清哪边是游戏,哪边是现实。这家公司很下血本,都是选的ToB市场的龙头企业或者头部企业的产品,我们也做了一些评估,评估之后的结果也会通过园区的商务渠道反馈给对应的公司去修复,同时会把很多的经验、发现的问题和点应用到小米产品上,让它不会出现这些问题。

最后,我为什么取这个题目?小米的IoT平台做的有点像第一件事,想让大家家庭的生活变得像游戏一样充满了梦幻、科幻的感觉,这是他的伟大的使命。我们便要应对这种智慧化生活中的一切挑战,给大家做保驾护航,这是我们的使命和存在的意义。

这两点是我想表达的观念,智慧生活真的不远了,我们没有办法去抗拒它。但是它来了,大家也不必害怕,因为有很多像我们这样的团队在为这种智慧的生活做保驾护航。

这是我们的IoT实验室的宗旨,希望无论是真正导致问题的问题,还是一些可能会导致问题的问题,我们都会解决,给用户非常踏实的安全感。

—   联系我们   —

新浪微博

公众号