美的集團是一家領先的消費電器、暖通空調、機器人及工業化自動系統、智能供應鏈的科技集團。2016年,美的集團營業總收入1,590.44億元,凈利潤158.62億元。美的“雙智戰略”的目標之一是大力發展智慧家居,即通過互聯網讓消費電器產品更加智能化,這表明美的的物聯網戰略已經形成。物聯網的信息安全對美的而言非常重要,美的與國家監測中心檢測中心等多方構建了物聯網安全技術聯合實驗室,同時率先推出物聯網安全Wi-Fi模塊,并已經通過中國信息安全測評中心評測。但美的對物聯網信息安全的重視永不止步,近期美的與Testin云測達成合作,針對美的空調的移動應用進行全方位的滲透測試,以充分保障消費者的個人信息安全和社會信息安全。
什么是物聯網
今天,我們已經進入了物聯網時代。
根據全球研究機構Software.org的最新報告顯示,到2020年將有多達500億臺物聯網(IoT)連接設備,包括智能手機、電視機、手表,管道以及卡車等。物聯網將帶來巨大的經濟收益,到2025年,全球經濟影響將達到11.1萬億美元。
其實,物聯網無時無刻都在我們身邊:你可能在入住酒店的時候,手機通過短信收到房間的智能門鎖密碼;你可能在進入地下車庫之前,通過手機啟動了汽車的引擎;在辦公室,你可能通過手機調節家里的空調溫度,讓在家等你的拉布拉多犬更舒適一些。實際上,在未來幾年,電視、空調、汽車、手表、攝像機、門鎖、音箱都將成為物聯網的一部分,而人們是通過用手機操作這些物聯網設備,從而讓這些設備更智能。
為什么美的空調如此重視信息安全?
物聯網被視為繼計算機、互聯網之后,世界信息產業發展的第三次浪潮。物聯網是互聯網的應用拓展,與其說物聯網是網絡,不如說物聯網是業務和應用。因此,根據應用設備的不同,物聯網又進一步被劃分為車聯網、智能家居、可穿戴設備、工控設備。
美的的物聯網戰略
美的集團是全球領先的消費電器、機器人及工業自動化系統、智能供應鏈(物流)的科技集團,它提供多元化的產品和服務,包括以廚房家電、
冰箱、洗衣機、及各類小家電的消費電器業務、以家用空調、
中央空調、供暖及通風系統的暖通空調業務。過去五年來,美的集團致力于實施“智慧家居智能制造”雙智戰略,將積極開放、協作、融入到產品智能化中,并推動“以用戶為中心”的戰略轉型。
2014年3月,美的正式向智能行業進軍,首款推出智能產品是物聯網智能空調,可以實現家電產品的互通互聯和遠程控制。同年,美的正式對外發布M-Smart戰略,實現全品智能化覆蓋。2016年美的正式發布M-Smart智慧生態計劃,宣布智慧生活運營服務平臺開放落地。在過去至少五年時間里,美的集團基本上完成了從功能型家電向智能家電產品的轉型與布局。
物聯網的信息安全不可忽視
根據Gartner報告預測,2020年全球IOT物聯網設備數量將高達260億個。但是由于安全標準滯后,以及智能設備制造商缺乏安全意識和投入,物聯網已經埋下極大隱患,是個人隱私、企業信息安全甚至國家關鍵基礎設施的頭號安全威脅。試想一下,無論家用或企業級的互連設備,如接入互聯網的交通指示燈、恒溫器,或醫用監控設備遭到攻擊,后果都將非常可怕。
現實情況是,針對物聯網的安全攻擊事件,現在已屢見不鮮,我們會發現很多與安全相關的駭人聽聞的事件,例如:汽車被黑客遠程操縱而失控、攝像頭被入侵而遭偷窺、聯網的烤箱被惡
意控制干燒、洗衣機空轉等等這些信息安全問題已經影響到了我們的人身、財產、生命安全乃至國家安全。
美的集團非常重視物聯網的信息安全,智慧家居作為美的集團雙智戰略的重要部分,美的智慧始終將產品的安全問題視作質量問題,投入重點資源對智慧家居的安全體系進行完善,在帶給用戶最好的智能體驗同時,保證用戶的信息安全。
美的集團對信息安全的高度重視是有原因的。2017年,我國曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯網設備生成流量而發起的大型DDoS攻擊。不僅如此,專業的網絡罪犯未來還可能利用不斷增長的互聯家庭設備,攻擊更多的目標。在智能家居時代,當智能家居收集的用戶信息足夠詳細時,用戶個人信息在互聯網上泄露的風險也就越大。同時,美的集團高度重視2016年頒布的《網絡安全法》,2016年11月7日,《網絡安全法》由第十二屆全國人大常委會表決通過,將于2017年6月1日起施行,這是我國第一部全面規范網絡空間安全的基礎性法律,是建設網絡強國的制度保障。
智能空調產品也可以被攻破
智能家居信息安全隱患背后原因,其中之一是有些生產企業和用戶信息安全意識不強。智能家居生產企業通常并不特別關注數據安全問題,普
通用戶一般意識不到智能家居所面臨的信息泄露威脅,這都是智能家居成為犯罪分子進行網絡攻擊、竊取個人數據甚至利用竊取的信息對用戶進行敲詐勒索的原因。在2016年的央視315晚會上,節目矛頭直接指向智能家居產品,對其安全問題進行了重點曝光。節目曝光了一起黑客可以利用安全漏洞入侵某智能家居系統的事件,家里的智能設備可以被黑客所掌控,通過控制攝像頭可以窺探到個人隱私,可以隨意控制各種家電的狀態、智能門鎖的打開和關閉。
安靜地坐落在角落里的空調,一旦智能化,也會成為黑客用于非法獲取用戶信息,甚至破壞社會穩定的入口。2016年的安全分析師峰會上,一項實驗表明,只要口袋里揣上50美元,任何人都可以破解一戶鄰居家的空調。如果一個人選對了時間和地點,甚至可以讓附近地區停電。
這怎么可能?但這是真的。
在美國政府的鼓勵下,如果用戶允許電力供應商在用電高峰期間把空調關掉,每年用戶就能節省200美元。空調器的這種功能是通過遠程控制完成的,運營商會通過特定的無線電頻率發送命令,關閉空調,這為黑客攻破空調創造了機會。
研究人員檢查發現,當時所有的接收器都沒有加密和身份驗證方案。因此任何人可以發出更強的信號控制空調設備。如果你能拿出150美元,你就可以控制附近的街區。但如果你是一個財力雄厚的罪犯,那就能控制整個城市。
智能空調如果安全做得不到位,那么將不僅威脅到個人信息的安全,而且可能會影響到社會的穩定。美的集團認為,安全是智慧家居的必備屬性,只有構建安全體系,智慧家居才有可控之力,才能實現其真正的價值所在。因此,美的致力于與產業鏈合作伙伴共同推進智慧家居互聯安全體系建設,全方位打造智慧家居安全防護網,為用戶提供安全可控的智慧家居產品和服務。
為什么美的與Testin在安全上合作?
美的空調擁有國內外數億的海量用戶,為用戶提供一個安全可信賴的物聯網環境,保護用戶信息安全是美的空調的核心原則。因此,美的空調和Testin云測安全充分溝通,在了解Testin云測安全所具備的專家實力后,采用Testin的云測物聯網智能家居安全的滲透測試服務。由擁有近20年安全從業經驗及曾任微軟大中華區信息安全總監的Testin云測首席安全顧問何迪生帶領團隊,在物聯網智能家居安全測試研究方面結合了智能化自動測試及專家滲透測試兩方面的優點,大大提高滲透測試在物聯網安全漏洞挖掘的綜合能力。
先簡要說一下什么是滲透測試。滲透測試是安全測試工程師模擬攻擊者的思路、技術、策略和手段,對給定應用系統的安全問題進行全面的檢測和評估的過程。換句話來說,滲透測試是對應用系統的“健康檢查”,能盡早地挖掘現存弱點,并輸出滲透測試報告提交給系統所有者。根據報告,所有者可以清晰知曉系統中存在的安全隱患和問題,作為問題修復的依據來進行安全防護,以提高系統的安全性。
因為美的空調是智能設備,就是說用戶可以用手機里的App或者微信來操作,所以Testin安全團隊需要支持對Android、iOS、Web、H5、微信公眾號等這些常見應用的滲透測試。Testin安全團隊采用人工檢測為主并輔以自動化檢測工具的方式,在保證應用系統穩定運行的前提下,對美的空調應用進行全面的、深度的滲透測試,尋找潛在的安全漏洞和隱患。Testin安全團隊,針對美的空調應用在滲透測試后發現的安全漏洞和隱患,積極充分地與美的進行修復方案的有效性評估,通過回歸測試來驗證漏洞修復后的效果,并將最新的測試報告
