当前位置:网站首页 >> 美食

业内智能装备漏洞检测工具亮相百度AI

时间:2019-05-14 21:04:31 来源:互联网 阅读:0次

7月5日,2017百度AI开发者大会在国家会议中心举行,百度AI生态的重要战略、技术、业务进展和解决方案在大会中首次向5000名开发者集中展现。在全球专注于AI开发者的盛会上,业内智能设备安全检测工具同期亮相。

这款产品由百度安全与DuerOS(百度对话式人工智能操作系统)团队联合开发,面向广大智能装备开发者。它将发挥百度在安全领域多年积累的能力,降低智能设备AI化的开发门槛,提高设备安全性。

初级安全攻防博弈:规模化抢占络环境下漏洞破解入口

AI正在改变机器与人的交互方式,影响力日趋扩大,整个行业亦面临着安全的挑战。

2017年央视315晚会上,官方曾曝光人脸识别漏洞,主持人仅凭一张观众里的自拍照,经过简单技术处理,成功攻破人脸验证。伴随金融机构远程开户、人脸取现、贷款等场景大规模普及,金融风险不容小觑。

不仅是智能移动装备,以智能门锁、智能摄像头、智能电器为代表的物联设备,当前存在大量安全漏洞。安全裸奔下的物联设备,不仅会出卖用户隐私,同时令家庭成为黑客遥控的高危作案现场。并不是是危言耸听,家庭Wi-Fi已成为黑客抢占络环境下漏洞破解入口:黑客使用一个未公开的漏洞获取路由器的权限,进而控制了家庭内的智能家居系统,实现任意操纵家庭中的智能插座、智能洗衣机、智能电烤箱,让洗衣机空转,电烤箱甚至可以超出标称的额定温度。

根据国家信息安全漏洞平台公开数据显示,截止2017年6月底,共收录3517个移动互联装备或软件产品漏洞,并通报了多款智能监控设备、路由器和智能移动设备等存在被远程控制高危风险漏洞的安全事件。

毫无疑问,智能设备遭遇络安全攻陷后,风险便是服务端的硬件设备丢失或云端信息被盗。虽然每一个智能硬件在出厂前都被设置有身份ID,但开发者若对开启设备和存储数据没有任何通讯加密或DDoS防御措施的话,黑客通过调试接口直接读取到明文或直接输出至logcat 中,将直接导致用户身份认证凭证、会话令牌等被轻易破解。

攻防博弈升级:劫持并控制智能硬件核心

2015年全球黑客大赛GeekPwn在某次开场项目中,曾演示过黑客劫持1架无人机控制权的全过程,这是全球首例完整劫持和控制无人机案例。

要黑掉一架无人机,先要获取硬件设备信息。而无人机的硬件型号及性能信息,主要由负责射频通讯的芯片和负责逻辑的主控芯片掌握。当黑客获取主控芯片和射频芯片之间SPI接口的通讯频率,便能控制逻辑追踪并解析出二进制命令和遥控器工作流程,终实现伪造遥控器和信息覆盖漏洞,从而实现劫持和控制。

劫持并控制智能硬件核心,智能设备安全博弈战正在升级。尽管芯片商、方案商和硬件开发商早已开始布局提升智能硬件动态博弈的能力,然而,技术创新和漏洞防御仍然面临囚徒困境。系统级安全漏洞频现、管理端通讯加密和加速的应用需求,云端webAPI入侵和DDOS攻击愈来愈成规模化,智能硬件开发者面临着巨大的压力。

业内漏洞检测工具:打响智能装备安全攻防战

种种案例表明,开发一款智能硬件设备,无论是一款可穿着装备,还是大型物联IoT部署,安全是首要考虑的问题,防患于未然,进行体系化防御和长时间对抗是解决之道。

打赢智能设备安全防御战,首先需要对黑客的攻击方法有深入的理解。百度安全作为国内早从事智能硬件安全攻防研究的团队,在智能硬件安全攻防实践中具有丰富的经验,业内漏洞检测工具在这个背景下应运而生。开发者点击:即可下载。

作为业内智能装备安全检测工具,这款工具特点鲜明:全面开放,兼容各类智能设备;检测范围覆盖智能设备常见高危漏洞,可提供一对一安全检测报告,并提供业内的解决方案。未来产品还将计划提供漏洞扫描安全工具链和更专业的渗透测试、应急响应等安全服务。

据项目负责人介绍,工具版本将专注于Android系统智能装备,18个常见高危漏洞可供检测,DuerOS首批开发者可抢先体验。CVE编号为CVE-的智能硬件漏洞,是一项基于Qualcomm ARM 处理器的效能事件管理器组件中的提权漏洞,它是一个本地权限提升漏洞,一旦被利用,攻击者就可以获得系统Root权限,为所欲为。任何Linux内核版本低于3.8的系统都会受此影响,不但有成百上千万PC、服务器岌岌可危,66%的安卓智能也同样面临着麻烦,影响数亿安卓用户的移动安全。

类似对数亿安卓用户构成安全杀伤力的漏洞,还有CVE编号为CVE-(Qualcomm 效能组件中的提权漏洞),和CVE-。后者迄今入侵了超过100万谷歌账户,还在以逐日感染13,000个装备的速度蔓延,从各类谷歌App中获取用户敏感信息。

上述漏洞,均可在工具首发版本中扫描检测出。据项目负责人透露,工具将快速迭代,可检测漏洞范围将逐渐扩大,未来将兼容各类智能设备。

黑客和安全厂商之间的博弈,一直以黑客行动占先为优势策略,使得安全厂商以防为攻过于被动;当安全厂商以漏洞预警和渗透测试升级占优策略之后,游戏规则发生根本性改变。AI风口在即,新一代安全变革已悄然来临。预警智能设备开发者行将面临的络安全、设备安全问题,并提供有效的解决方案,正成为安全厂商新一轮的挑战。

月经量少食疗可以吗
痛经手脚冰凉怎么治
月经推迟经量少怎么调理

相关文章

一周热门

热点排行

热门精选

友情链接: 行业资讯 烘焙蛋糕店软件 成功案例
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图