美的集團(tuán)是一家領(lǐng)先的消費電器、暖通空調(diào)、機器人及工業(yè)化自動系統(tǒng)、智能供應(yīng)鏈的科技集團(tuán)。2016年,美的集團(tuán)營業(yè)總收入1,590.44億元,凈利潤158.62億元。美的“雙智戰(zhàn)略”的目標(biāo)之一是大力發(fā)展智慧家居,即通過互聯(lián)網(wǎng)讓消費電器產(chǎn)品更加智能化,這表明美的的物聯(lián)網(wǎng)戰(zhàn)略已經(jīng)形成。物聯(lián)網(wǎng)的信息安全對美的而言非常重要,美的與國家監(jiān)測中心檢測中心等多方構(gòu)建了物聯(lián)網(wǎng)安全技術(shù)聯(lián)合實驗室,同時率先推出物聯(lián)網(wǎng)安全Wi-Fi模塊,并已經(jīng)通過中國信息安全測評中心評測。但美的對物聯(lián)網(wǎng)信息安全的重視永不止步,近期美的與TesTIn云測達(dá)成合作,針對美的空調(diào)的移動應(yīng)用進(jìn)行全方位的滲透測試,以充分保障消費者的個人信息安全和社會信息安全。
什么是物聯(lián)網(wǎng)今天,我們已經(jīng)進(jìn)入了物聯(lián)網(wǎng)時代。
根據(jù)全球研究機構(gòu)Software.org的最新報告顯示,到2020年將有多達(dá)500億臺物聯(lián)網(wǎng)(IoT)連接設(shè)備,包括智能手機、電視機、手表,管道以及卡車等。物聯(lián)網(wǎng)將帶來巨大的經(jīng)濟(jì)收益,到2025年,全球經(jīng)濟(jì)影響將達(dá)到11.1萬億美元。
其實,物聯(lián)網(wǎng)無時無刻都在我們身邊:你可能在入住酒店的時候,手機通過短信收到房間的智能門鎖密碼;你可能在進(jìn)入地下車庫之前,通過手機啟動了汽車的引擎;在辦公室,你可能通過手機調(diào)節(jié)家里的空調(diào)溫度,讓在家等你的拉布拉多犬更舒適一些。實際上,在未來幾年,電視、空調(diào)、汽車、手表、攝像機、門鎖、音箱都將成為物聯(lián)網(wǎng)的一部分,而人們是通過用手機操作這些物聯(lián)網(wǎng)設(shè)備,從而讓這些設(shè)備更智能。
物聯(lián)網(wǎng)被視為繼計算機、互聯(lián)網(wǎng)之后,世界信息產(chǎn)業(yè)發(fā)展的第三次浪潮。物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的應(yīng)用拓展,與其說物聯(lián)網(wǎng)是網(wǎng)絡(luò),不如說物聯(lián)網(wǎng)是業(yè)務(wù)和應(yīng)用。因此,根據(jù)應(yīng)用設(shè)備的不同,物聯(lián)網(wǎng)又進(jìn)一步被劃分為車聯(lián)網(wǎng)、智能家居、可穿戴設(shè)備、工控設(shè)備。
美的的物聯(lián)網(wǎng)戰(zhàn)略美的集團(tuán)是全球領(lǐng)先的消費電器、機器人及工業(yè)自動化系統(tǒng)、智能供應(yīng)鏈(物流)的科技集團(tuán),它提供多元化的產(chǎn)品和服務(wù),包括以廚房家電、冰箱、洗衣機、及各類小家電的消費電器業(yè)務(wù)、以家用空調(diào)、中央空調(diào)、供暖及通風(fēng)系統(tǒng)的暖通空調(diào)業(yè)務(wù)。過去五年來,美的集團(tuán)致力于實施“智慧家居智能制造”雙智戰(zhàn)略,將積極開放、協(xié)作、融入到產(chǎn)品智能化中,并推動“以用戶為中心”的戰(zhàn)略轉(zhuǎn)型。
2014年3月,美的正式向智能行業(yè)進(jìn)軍,首款推出智能產(chǎn)品是物聯(lián)網(wǎng)智能空調(diào),可以實現(xiàn)家電產(chǎn)品的互通互聯(lián)和遠(yuǎn)程控制。同年,美的正式對外發(fā)布M-Smart戰(zhàn)略,實現(xiàn)全品智能化覆蓋。2016年美的正式發(fā)布M-Smart智慧生態(tài)計劃,宣布智慧生活運營服務(wù)平臺開放落地。在過去至少五年時間里,美的集團(tuán)基本上完成了從功能型家電向智能家電產(chǎn)品的轉(zhuǎn)型與布局。
物聯(lián)網(wǎng)的信息安全不可忽視根據(jù)Gartner報告預(yù)測,2020年全球IOT物聯(lián)網(wǎng)設(shè)備數(shù)量將高達(dá)260億個。但是由于安全標(biāo)準(zhǔn)滯后,以及智能設(shè)備制造商缺乏安全意識和投入,物聯(lián)網(wǎng)已經(jīng)埋下極大隱患,是個人隱私、企業(yè)信息安全甚至國家關(guān)鍵基礎(chǔ)設(shè)施的頭號安全威脅。試想一下,無論家用或企業(yè)級的互連設(shè)備,如接入互聯(lián)網(wǎng)的交通指示燈、恒溫器,或醫(yī)用監(jiān)控設(shè)備遭到攻擊,后果都將非??膳隆?/p>
現(xiàn)實情況是,針對物聯(lián)網(wǎng)的安全攻擊事件,現(xiàn)在已屢見不鮮,我們會發(fā)現(xiàn)很多與安全相關(guān)的駭人聽聞的事件,例如:汽車被黑客遠(yuǎn)程操縱而失控、攝像頭被入侵而遭偷窺、聯(lián)網(wǎng)的烤箱被惡意控制干燒、洗衣機空轉(zhuǎn)等等這些信息安全問題已經(jīng)影響到了我們的人身、財產(chǎn)、生命安全乃至國家安全。
美的集團(tuán)非常重視物聯(lián)網(wǎng)的信息安全,智慧家居作為美的集團(tuán)雙智戰(zhàn)略的重要部分,美的智慧始終將產(chǎn)品的安全問題視作質(zhì)量問題,投入重點資源對智慧家居的安全體系進(jìn)行完善,在帶給用戶最好的智能體驗同時,保證用戶的信息安全。
美的集團(tuán)對信息安全的高度重視是有原因的。2017年,我國曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯(lián)網(wǎng)設(shè)備生成流量而發(fā)起的大型DDoS攻擊。不僅如此,專業(yè)的網(wǎng)絡(luò)罪犯未來還可能利用不斷增長的互聯(lián)家庭設(shè)備,攻擊更多的目標(biāo)。在智能家居時代,當(dāng)智能家居收集的用戶信息足夠詳細(xì)時,用戶個人信息在互聯(lián)網(wǎng)上泄露的風(fēng)險也就越大。同時,美的集團(tuán)高度重視2016年頒布的《網(wǎng)絡(luò)安全法》,2016年11月7日,《網(wǎng)絡(luò)安全法》由第十二屆全國人大常委會表決通過,將于2017年6月1日起施行,這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全的基礎(chǔ)性法律,是建設(shè)網(wǎng)絡(luò)強國的制度保障。
智能空調(diào)產(chǎn)品也可以被攻破智能家居信息安全隱患背后原因,其中之一是有些生產(chǎn)企業(yè)和用戶信息安全意識不強。智能家居生產(chǎn)企業(yè)通常并不特別關(guān)注數(shù)據(jù)安全問題,普通用戶一般意識不到智能家居所面臨的信息泄露威脅,這都是智能家居成為犯罪分子進(jìn)行網(wǎng)絡(luò)攻擊、竊取個人數(shù)據(jù)甚至利用竊取的信息對用戶進(jìn)行敲詐勒索的原因。在2016年的央視315晚會上,節(jié)目矛頭直接指向智能家居產(chǎn)品,對其安全問題進(jìn)行了重點曝光。節(jié)目曝光了一起黑客可以利用安全漏洞入侵某智能家居系統(tǒng)的事件,家里的智能設(shè)備可以被黑客所掌控,通過控制攝像頭可以窺探到個人隱私,可以隨意控制各種家電的狀態(tài)、智能門鎖的打開和關(guān)閉。
安靜地坐落在角落里的空調(diào),一旦智能化,也會成為黑客用于非法獲取用戶信息,甚至破壞社會穩(wěn)定的入口。2016年的安全分析師峰會上,一項實驗表明,只要口袋里揣上50美元,任何人都可以破解一戶鄰居家的空調(diào)。如果一個人選對了時間和地點,甚至可以讓附近地區(qū)停電。
這怎么可能?但這是真的。在美國政府的鼓勵下,如果用戶允許電力供應(yīng)商在用電高峰期間把空調(diào)關(guān)掉,每年用戶就能節(jié)省200美元??照{(diào)器的這種功能是通過遠(yuǎn)程控制完成的,運營商會通過特定的無線電頻率發(fā)送命令,關(guān)閉空調(diào),這為黑客攻破空調(diào)創(chuàng)造了機會。
研究人員檢查發(fā)現(xiàn),當(dāng)時所有的接收器都沒有加密和身份驗證方案。因此任何人可以發(fā)出更強的信號控制空調(diào)設(shè)備。如果你能拿出150美元,你就可以控制附近的街區(qū)。但如果你是一個財力雄厚的罪犯,那就能控制整個城市。
智能空調(diào)如果安全做得不到位,那么將不僅威脅到個人信息的安全,而且可能會影響到社會的穩(wěn)定。美的集團(tuán)認(rèn)為,安全是智慧家居的必備屬性,只有構(gòu)建安全體系,智慧家居才有可控之力,才能實現(xiàn)其真正的價值所在。因此,美的致力于與產(chǎn)業(yè)鏈合作伙伴共同推進(jìn)智慧家居互聯(lián)安全體系建設(shè),全方位打造智慧家居安全防護(hù)網(wǎng),為用戶提供安全可控的智慧家居產(chǎn)品和服務(wù)。
為什么美的與TesTIn在安全上合作?美的空調(diào)擁有國內(nèi)外數(shù)億的海量用戶,為用戶提供一個安全可信賴的物聯(lián)網(wǎng)環(huán)境,保護(hù)用戶信息安全是美的空調(diào)的核心原則。因此,美的空調(diào)和TesTIn云測安全充分溝通,在了解TesTIn云測安全所具備的專家實力后,采用Testin的云測物聯(lián)網(wǎng)智能家居安全的滲透測試服務(wù)。由擁有近20年安全從業(yè)經(jīng)驗及曾任微軟大中華區(qū)信息安全總監(jiān)的Testin云測首席安全顧問何迪生帶領(lǐng)團(tuán)隊,在物聯(lián)網(wǎng)智能家居安全測試研究方面結(jié)合了智能化自動測試及專家滲透測試兩方面的優(yōu)點,大大提高滲透測試在物聯(lián)網(wǎng)安全漏洞挖掘的綜合能力。
先簡要說一下什么是滲透測試。滲透測試是安全測試工程師模擬攻擊者的思路、技術(shù)、策略和手段,對給定應(yīng)用系統(tǒng)的安全問題進(jìn)行全面的檢測和評估的過程。換句話來說,滲透測試是對應(yīng)用系統(tǒng)的“健康檢查”,能盡早地挖掘現(xiàn)存弱點,并輸出滲透測試報告提交給系統(tǒng)所有者。根據(jù)報告,所有者可以清晰知曉系統(tǒng)中存在的安全隱患和問題,作為問題修復(fù)的依據(jù)來進(jìn)行安全防護(hù),以提高系統(tǒng)的安全性。
因為美的空調(diào)是智能設(shè)備,就是說用戶可以用手機里的App或者微信來操作,所以Testin安全團(tuán)隊需要支持對Android、iOS、Web、H5、微信公眾號等這些常見應(yīng)用的滲透測試。Testin安全團(tuán)隊采用人工檢測為主并輔以自動化檢測工具的方式,在保證應(yīng)用系統(tǒng)穩(wěn)定運行的前提下,對美的空調(diào)應(yīng)用進(jìn)行全面的、深度的滲透測試,尋找潛在的安全漏洞和隱患。Testin安全團(tuán)隊,針對美的空調(diào)應(yīng)用在滲透測試后發(fā)現(xiàn)的安全漏洞和隱患,積極充分地與美的進(jìn)行修復(fù)方案的有效性評估,通過回歸測試來驗證漏洞修復(fù)后的效果,并將最新的測試報告發(fā)送給美的。