8.1.3 应用层安全事件
1.车联网安全事件
车联网产品由云端服务器、手机App、盒子三大基本要素构成,攻击其中任何一个要素以及要素之间的通信,都能够给车联网带来毁灭性的打击,主要攻击手段如下。
①入侵云服务端,篡改服务端的诊断数据逻辑,达到改变汽车行为的目的。
②通过逆向工程获知手机App和盒子之间的通信逻辑,伪造成车联网产品的手机App向盒子发送恶意的消息序列。
③通过Wi-Fi、蓝牙等通信渠道进行攻击。
美国国防部高级研究计划局资助的两名安全调查员花费数月的时间“攻破”了福特翼虎和丰田普锐斯汽车系统:将汽车仪表盘底部的标准数据接口与笔记本式计算机连接,再通过笔记本式计算机发出指令,就可以控制汽车的刹车系统和方向盘。
在2014年中国互联网安全大会上,来自国内外的黑客进行了各种攻防演示。360互联网安全公司的技术人员在现场演示黑客不用车钥匙,而是用笔记本式计算机和智能手表打开奔驰C180轿车的车门。他们用一个无线电设备,将车钥匙中的射频信号截取下来,然后把这个信号输送成实际的数据,用一些其他设备,比如手机或者一些能发出同样射频信号的设备,将之前分析出来的数据发射出来,这样就可以用这个设备而不用车钥匙把车门打开了。此外,360互联网安全公司的专业团队研究了特斯拉Model S型汽车,发现该汽车的应用程序流程存在设计缺陷。攻击者利用这个漏洞,可远程控制车辆,实现开锁、鸣笛、闪灯、开启天窗等操作,并且能够在车辆行驶中开启天窗。
2014年5月,美国网络安全公司发布了一份研究报告,指出网络黑客已经能够轻松入侵并操控城市交通信号系统以及其他道路系统,涉及范围涵盖纽约、洛杉矶、华盛顿等美国大城市。黑客能够通过改变交通灯信号、延迟信号改变时间、改变数字限速标记,从而导致交通拥堵甚至车祸,研究者Cesar Cerrudo表示,目前根本没有任何方法能够防止交通控制设备被入侵。
2.智慧医疗安全事件
2014年5月,美国知名科技媒体撰稿人吉姆曾特(Kim Zetter)对现代医院医疗设备展开了一次详尽的调查,指出目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,这一风险甚至可能会造成致命的后果。同时,美国食品及药物管理局已经出台了要求医疗设备制造厂商强制检查出厂设备的安全性指导意见。
美国Mc Afee公司的资深信息安全专家巴纳比·杰克模拟了黑客入侵医疗设备的全过程,操控设备按照黑客的意志“行凶”,整个过程让现场观摩的医生和设备供应商大为震惊。巴纳比和团队利用强大的无线电设备成功干扰了一台胰岛素泵的正常工作,这个时候再利用高超的计算机技术篡改胰岛素泵原本的工作流程,实现逆向通信。至此,这台胰岛素泵就处于黑客的控制中,黑客可随意加快胰岛素泵的注射频率,短时间内把300个单位的胰岛素注入病人体内,这样病人就会血糖急降,抢救不及时就会死亡。巴纳比说,只要让他在距离胰岛素泵91 m以内的范围就可实现干扰,把胰岛素泵“玩于股掌之上”,又不被患者本人和医护人员识破。
360互联网安全公司的安全专家指出,黑客可以利用远程医疗设备的无线或有线通信协议中存在的安全设计缺陷及硬件设备安全漏洞,通过远程控制心脏起搏器等方式杀人于无形。
3.可穿戴智能设备安全事件
随着移动互联网的普及,可穿戴智能市场变得异常火爆,包括苹果、三星在内的许多互联网公司都在2014年推出可穿戴智能设备。在2014年的互联网安全大会上,一款智能手环凭借定位功能受到关注,儿童在带上智能手环后,父母可以通过手机App实时了解其位置,厂家宣传时称其产品为“防丢神器”。
从技术层面上说,黑客完全有能力通过技术手段攻破并控制智能设备。可穿戴智能设备是与人们生活关联度最高的智能设备,出现问题可能不止损失钱财那么简单,严重的甚至会威胁到消费者的生命安全。业内公认安全性最好的苹果公司也被频频曝出安全漏洞,让人们对可穿戴智能设备的安全性有所质疑。
2013年5月,谷歌眼镜被指存在重大安全隐患。黑客可以通过电脑控制谷歌眼镜,从而获得用户的所见、所闻及用户的密码等敏感信息。马萨诸塞大学的研究人员发现,黑客可以利用谷歌眼镜盗取用户智能手机的密码,从而进入用户的智能手机,并盗取手机中的数据。
4.智能电表安全事件
智能设备的数量目前正在以指数的速度增加,越来越多的智能设备慢慢开始进入我们的生活。相对于其他国家而言,西班牙的智能设备是相对而言比较容易被“黑”掉的,根据研究人员的研究,因为缺乏必要的安全控制,西班牙的千家万户都暴露在网络攻击的风险之中。
2014年10月,研究人员发现西班牙所使用的智能电表存在安全漏洞,该漏洞可以导致电费诈骗甚至黑客进入电路系统导致大面积停电,原因主要在于电表内部保护不善的安全凭证可以被黑客获取到并使其能成功控制电路系统。发现该漏洞的研究人员Javier Vazquez Vidal表示,该漏洞的影响范围非常广,西班牙提高国家能源效率的公共事业公司所安装的智能电表就在影响范围列。研究人员称将会公布逆向智能电表的过程,包括他们是如何发现这个极其危险的安全问题,以及该漏洞如何使得入侵者成功进行电费欺诈,甚至关闭电路系统的。该漏洞存在于智能电表中,而智能电表是可编程的,并且同时包含了可能用来远程关闭电源的缺陷代码,导致影响范围极广。