业界首款智能设备漏洞检测工具亮相百度AI开发者大会

发布日期： 2021-08-19 点击： 915

7月5日，2017百度AI开发者大会在国家会议中心召开。大会首次向5000名开发者展示了百度AI生态的重要战略、最新技术、业务发展和解决方案。在全球首个专注于人工智能开发者的盛会上，业界首款智能设备安全检测工具同时亮相。

本产品由百度安全和DuerOS（百度会话人工智能操作系统）团队为广大智能设备开发者共同开发。将利用百度在安全领域多年积累的能力，降低基于人工智能的智能设备的开发门槛智能检具，提升设备安全性。

初级安全攻防博弈：大规模抢占网络环境漏洞破解入口

智能变电站的智能运检_智能检具_上古卷轴4 检测到仿真程序=检测到与仿真程序有冲突

人工智能正在改变机器与人的互动方式，其影响力正在扩大。整个行业也面临着安全挑战。

在2017央视3.15晚会上，官方曝光了人脸识别漏洞。主持人仅通过观众手机自拍，经过简单的技术处理，成功破解了人脸验证。随着远程开户、刷脸取现、金融机构贷款等场景的大规模普及，金融风险不容小觑。

不仅是智能移动设备智能检具，以智能门锁、智能摄像头、智能家电为代表的物联网设备，目前都存在大量安全漏洞。安全“裸奔”下的物联网设备不仅会出卖用户隐私，还会让家中成为黑客远程控制犯罪的高危犯罪现场。这不是危言耸听。家庭Wi-Fi成为黑客抓住网络环境漏洞的切入点：黑客利用未公开的漏洞获取路由器的最高权限，进而控制家中的智能家居系统，实现对路由器的任意操控。家里的智能插座，智能洗衣机，智能电烤箱，让洗衣机空转，电烤箱甚至可以超过标称额定温度。

上古卷轴4 检测到仿真程序=检测到与仿真程序有冲突_智能检具_智能变电站的智能运检

国家信息安全漏洞平台最新公开数据显示，截至2017年6月，共收集移动互联网设备或软件产品漏洞3517个，智能监控设备、路由器、和智能移动设备已被报告为具有高风险漏洞的远程控制安全事件。

毫无疑问，智能设备遇到网络安全漏洞后，最大的风险就是服务器端的硬件设备丢失或者云端信息被盗。虽然每个智能硬件在出厂前都设置了“唯一ID”，但如果开发者对“开放设备”和“存储数据”没有任何通信加密或DDoS防御措施，黑客可以通过调试直接读取interface 明文或者直接输出到logcat会直接导致用户的身份认证凭证、会话令牌等容易被破解。

攻防博弈升级：劫持控制智能硬件核心

智能变电站的智能运检_上古卷轴4 检测到仿真程序=检测到与仿真程序有冲突_智能检具

在 2015 年全球黑客大赛的开幕项目中，GeekPwn 展示了“黑客”劫持无人机控制的全过程。这是全球首例无人机完全劫持和控制案例。

要破解无人机，首先要获取硬件设备信息。无人机的硬件型号和性能信息主要由负责射频通信的芯片和负责逻辑的主控芯片控制。黑客在获取主控芯片与射频芯片之间SPI接口的通信频率后，可以控制逻辑跟踪解析出二进制命令和遥控工作流程，最终实现伪造遥控和信息覆盖漏洞，从而实现劫持和控制。

劫持和控制智能硬件核心，智能设备安全博弈升级。尽管芯片厂商、解决方案提供商、硬件开发商已经开始计划提升智能硬件“动态博弈”的能力，但技术创新和漏洞防御仍面临“囚徒困境”。随着系统级安全漏洞频发，管理端通信加密和加速应用需求，云WebAPI入侵和DDOS攻击规模越来越大，智能硬件开发商面临巨大压力。

智能变电站的智能运检_上古卷轴4 检测到仿真程序=检测到与仿真程序有冲突_智能检具

业界首款漏洞检测工具：开启智能设备安全攻防战

各种案例表明，在开发智能硬件设备时，无论是可穿戴设备还是大规模物联网部署，安全都是首要考虑的问题。防患于未然，系统防御，长期对抗才是解决之道。

要打赢智能设备安全防御战，首先要深入了解黑客的攻击方式。百度安全作为国内最早从事智能硬件安全攻防研究的团队，在智能硬件安全攻防实践方面有着丰富的经验。业界第一款漏洞检测工具就是在这样的背景下应运而生的。开发者点击：下载。

智能检具_智能变电站的智能运检_上古卷轴4 检测到仿真程序=检测到与仿真程序有冲突

作为业界首款智能设备安全检测工具，该工具具有鲜明的特点：完全开放，兼容各类智能设备；检测范围涵盖智能设备常见的高危漏洞，可提供一对一的安全检测报告，提供业界领先的解决方案。未来产品还将计划提供漏洞扫描安全工具链以及更专业的渗透测试、应急响应等安全服务。

据项目负责人介绍，该工具第一版将重点关注Android系统智能设备，18个常见高危漏洞可供检测，首批DuerOS开发者可抢先体验。 CVE编号为“CVE-2016-0805”的智能硬件漏洞是基于高通ARM处理器的性能事件管理器组件中的提权漏洞。这是一个本地提权漏洞。一旦被利用，攻击者就可以获得系统root权限，为所欲为。任何 Linux 内核版本低于3.8 的系统都会受此影响。不仅有数千万台PC和服务器面临风险，66%的Android智能手机也面临问题，影响了数亿Android手机用户的移动安全。 .

与给亿万安卓手机用户造成安全隐患的漏洞类似，还有CVE编号“CVE-2016-0819”（高通性能组件中的提权漏洞）、“CVE-2014- 3153"。后者迄今已入侵超过 100 万个 Google 帐户，并且仍在以每天感染 13,000 台设备的速度传播，从各种 Google 应用中获取敏感的用户信息。

通过在工具的初始版本中扫描可以检测到上述漏洞。据项目负责人介绍，该工具将快速迭代，可检测漏洞的范围将逐渐扩大，未来将兼容各类智能设备。

黑客与安全厂商之间的博弈一直基于黑客“主动为先”的策略，使得安全厂商“防攻击”过于被动；当安全厂商利用“漏洞预警和渗透测试”升级“战略”之后，游戏规则发生了根本性的变化。 AI风口迫在眉睫，新一代安全变革悄然来临。对智能设备开发者将面临的网络安全和设备安全问题进行预警并提供有效的解决方案，正成为安全厂商面临的新一轮挑战。