智能時代，安全問題面臨新威脅

進入信息新時代，除了人工智能以外，最近，有兩個話題很活躍。一是隨著5G時代的到來，物聯(lián)網(wǎng)已經(jīng)和我們越來越近。二是蘋果新品發(fā)布iPhone X，新功能“Face ID”讓人們驚嘆刷臉時代的來臨。

期間，隨著物聯(lián)網(wǎng)、生物識別信息等新技術(shù)的興起和由此帶來的產(chǎn)業(yè)變革，信息安全問題日益凸顯，信息安全正在告別傳統(tǒng)的病毒感染、網(wǎng)站被黑及資源濫用等階段，邁進了一個復(fù)雜多元、綜合交互的新時期。一起看看國外媒體如何看待這個問題。

刷臉時代，不得不面對的安全問題

對于果粉來說，今年秋季蘋果的新品發(fā)布會是值得期待的，這次發(fā)布的iPhone X采用幾乎覆蓋整個正面的全面屏，而且沒有了Home鍵，解鎖手機就靠面部識別。蘋果對iPhone X使用的面部識別取名叫“Face ID”，在開鎖時用戶只需要看著手機，就能實現(xiàn)“刷臉”解鎖和支付。

對此變化，質(zhì)疑聲隨之而來。據(jù)外媒報道，一位來自美國參議院的隱私部門官員表示，希望蘋果公司能夠?qū)@一技術(shù)進行詳細的說明，解釋它究竟是怎樣工作的。其中最重要的一個問題就是，蘋果是否會通過面容 ID 功能來收集用戶的面部信息，造成數(shù)據(jù)的濫用。

蘋果軟件部門高級副總裁Craig Federighi 在接受TechCrunch 采訪時表示：“我們不會收集用戶的數(shù)據(jù)。在使用面容ID 功能時，一切的信息數(shù)據(jù)都會保留在用戶自己的設(shè)備之中，我們不會把它們上傳到云端進行更深度的信息識別訓(xùn)練?！?/p>

同時，蘋果方面也對前面那位參議員的要求作出了書面回應(yīng)：通過TrueDepth攝像系統(tǒng)和最新的A11 仿生芯片，蘋果的面容ID 功能可以實現(xiàn)安全而直接的面部識別，對用戶的面部數(shù)據(jù)進行精準(zhǔn)的識別和匹配。一方面，面容ID 數(shù)據(jù)永遠不會離開用戶的設(shè)備，它們會由“安全區(qū)域”進行加密和保護。另一方面，目前，已經(jīng)對來自不同的國家和地區(qū)、不同種族文化的用戶進行了面容ID 功能的測試。在對超過10 億張人像進行神經(jīng)網(wǎng)絡(luò)方面的深度學(xué)習(xí)之后，可以很好地防范各種欺詐行為。

盡管如此，在面對新事物的時候，擔(dān)憂和質(zhì)疑也是難免，網(wǎng)友的評論一浪接一浪?！耙院笈笥炎屛?guī)涂纯催@件衣服怎么樣，我一瞅屏幕，支付成功了”“半夜老婆趁我睡覺解鎖手機怎么辦”，甚至，為防止晚上睡覺被盜刷，一款售價28元的淘寶防面部識別解鎖面罩已經(jīng)在朋友圈流傳。

人們的擔(dān)憂雖然有調(diào)侃的成分，然而，卻并不是杞人憂天。指紋、虹膜、面部識別等生物信息具備唯一性，它們被盜用可能比傳統(tǒng)的密碼盜號方式影響更大。所以，不僅僅網(wǎng)友們熱衷討論此事，專家也早已提出他們的擔(dān)憂。

曾經(jīng)，在USENIX 安全論壇上，來自北卡羅萊納大學(xué)的研究人員展示了他們的3D 臉部建模系統(tǒng)。使用這套系統(tǒng)，研究者們可以直接從 Facebook、 Google + 等社交網(wǎng)絡(luò)上獲取任何人的照片素材，并利用其在 VR 環(huán)境中建立 3D 模型，對面部識別系統(tǒng)進行解鎖。

在這次試驗中，研究人員共測試了 5種來自 iOS 與 Android 平臺上的刷臉解鎖軟件，選取了 20 名志愿者并在其社交網(wǎng)絡(luò)上挑選 3 到 27 張不等的照片用于建模。最終結(jié)果顯示，5 個產(chǎn)品中只有 1 個破解效果不理想，其余 4 個則有 55% 至 85%的解鎖率。

當(dāng)時，專家指出，一般來說，防騙性能比較差的面部識別，用普通照片與視頻就可破解。研究者首先會使用軟件分析社交網(wǎng)絡(luò)上的照片的面部關(guān)鍵特征，利用標(biāo)記的關(guān)鍵點進行建模。經(jīng)過一系列的努力，再把模型放入手機端的虛擬現(xiàn)實系統(tǒng)中，可以讓頭部模型自然地活動，并展示深度信息。然后，相對弱的刷臉解鎖軟件就會把這個手機屏幕上的 3D 模型誤認(rèn)為是真人。不過，密歇根州立大學(xué)教授 Anil Jain表示：先進的傳感器和識別機制可以解決這個問題。比如，若采用人臉的紅外信號，這種 VR 3D 模型顯然很難復(fù)制。所以，當(dāng)iPhone X開始大規(guī)模使用時，F(xiàn)ace ID技術(shù)是否足夠安全和便捷目前還不得而知。但是，不容置疑的是，隨著刷臉時代的到來，需要接受的考驗第一關(guān)就是安全，并將迎來越來越先進的刷臉設(shè)備，以保護我們的信息安全。

物聯(lián)網(wǎng)時代，藍牙傳輸?shù)膰?yán)重漏洞

美國時間 9 月 12 日，物聯(lián)網(wǎng)安全初創(chuàng)公司 Armis 在官網(wǎng)上公布了一種新型物聯(lián)網(wǎng)攻擊手段:BlueBorne。幾乎所有聯(lián)網(wǎng)設(shè)備都可能受其威脅。只要目標(biāo)設(shè)備擁有藍牙功能，BlueBorne 攻擊手段就不需要目標(biāo)用戶進行任何交互操作，不需要任何的前提條件或配置，就能對目標(biāo)設(shè)備進行空中攻擊。而且，支持藍牙功能的設(shè)備會不斷地從周圍搜尋可接入的連接，而不僅僅是那些已經(jīng)配對的連接。

“這些沉默式的攻擊對于傳統(tǒng)的安全控制和程序是不可見的，公司不會在環(huán)境中監(jiān)控這些類型的設(shè)備到設(shè)備的連接，所以他們看不到這些攻擊或阻止他們?！盇rmis CEO Yevgeny Dibrov在一份聲明中表示，“這項研究說明了我們在這個新的關(guān)聯(lián)時代面臨的各種威脅?！?/p>

據(jù)DeepTech報道，BlueBorne是利用 8 個藍牙傳輸協(xié)議漏洞（Bluetooth）對設(shè)備進行空中攻擊和傳播的。Armis 這次披露的漏洞能影響運行在 Android、Linux、Windows 操作系統(tǒng)上的所有設(shè)備，還包括 IOS 10 之前版本的所有設(shè)備。這意味著幾乎所有運行在這些操作系統(tǒng)上的電腦、移動設(shè)備、智能電視或其他物聯(lián)網(wǎng)設(shè)備都面臨著這 8 個漏洞中至少一個的威脅。

“這些沉默式的攻擊對于傳統(tǒng)的安全控制和程序是不可見的，公司不會在環(huán)境中監(jiān)控這些類型的設(shè)備到設(shè)備的連接，所以他們看不到這些攻擊或阻止他們?！?/p>

——Armis CEO Yevgeny Dibrov

Armis 的研究人員還擔(dān)心，這次發(fā)現(xiàn)的漏洞只是冰山一角，藍牙傳輸協(xié)議里還存在著大量尚未被發(fā)現(xiàn)的漏洞。建議 Windows 用戶和 Linux 用戶查看最新最準(zhǔn)確的安全更新信息。安卓用戶可以去Google Play 上下載 Armis 開發(fā)的 BlueBorne Scanner 應(yīng)用。IOS 用戶應(yīng)該將系統(tǒng)版本升級到 IOS 10。

不僅如此，包括許多藍牙智能鎖也都存在安全缺陷，會被非法用戶打開，但問題并不出在藍牙標(biāo)準(zhǔn)本身，而出在它們實施藍牙標(biāo)準(zhǔn)的方式上。

去年，據(jù)TomsGuide網(wǎng)站報道，一名安全研究人員在DEF CON黑客會議上表示，許多藍牙LE智能鎖都會被攻破，被非法用戶打開，但相關(guān)廠商似乎無意采取什么措施。

電氣工程師安東尼·羅斯(Anthony Rose)表示，在他及其同事本·拉姆齊(Ben Ramsey)測試的16款藍牙智能鎖中，在遭到無線攻擊時12款會被打開。羅斯表示，“我們在藍牙智能鎖中發(fā)現(xiàn)了安全缺陷，然后與相關(guān)廠商進行了聯(lián)系，廠商似乎對此無動于衷。我們與12家廠商進行了接洽，只有一家有回應(yīng)，‘我們知道這是個問題，但我們不會修正它?！?/p>

問題不在于藍牙LE協(xié)議本身，而在于這些智能鎖實施藍牙通信的方式，或配套的智能手機應(yīng)用。例如，4款智能鎖以明文方式向智能手機傳輸用戶密碼，使得任何用戶都可以利用價值100美元(約合人民幣666元)的藍牙嗅探器方便地截取密碼。

所以，正如DeepTech報道的那樣，“傳統(tǒng)的安全措施只能阻止通過互聯(lián)網(wǎng) IP連接進行傳播的黑客攻擊。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的不斷增長，我們迫切需要新的解決方案來應(yīng)對這種新型物聯(lián)網(wǎng)空中攻擊手段，特別是那些要將內(nèi)網(wǎng)進行物理隔絕的機構(gòu)。”

（本文根據(jù)TechCrunch、DeepTech、TomsGuide等匯編；整理/陶春）