智能时代，安全问题面临新威胁

智能时代，安全问题面临新威胁

进入信息新时代，除了人工智能以外，最近，有两个话题很活跃。一是随着5G时代的到来，物联网已经和我们越来越近。二是苹果新品发布iPhone X，新功能“Face ID”让人们惊叹刷脸时代的来临。

期间，随着物联网、生物识别信息等新技术的兴起和由此带来的产业变革，信息安全问题日益凸显，信息安全正在告别传统的病毒感染、网站被黑及资源滥用等阶段，迈进了一个复杂多元、综合交互的新时期。一起看看国外媒体如何看待这个问题。

刷脸时代，不得不面对的安全问题

对于果粉来说，今年秋季苹果的新品发布会是值得期待的，这次发布的iPhone X采用几乎覆盖整个正面的全面屏，而且没有了Home键，解锁手机就靠面部识别。苹果对iPhone X使用的面部识别取名叫“Face ID”，在开锁时用户只需要看着手机，就能实现“刷脸”解锁和支付。

对此变化，质疑声随之而来。据外媒报道，一位来自美国参议院的隐私部门官员表示，希望苹果公司能够对这一技术进行详细的说明，解释它究竟是怎样工作的。其中最重要的一个问题就是，苹果是否会通过面容 ID 功能来收集用户的面部信息，造成数据的滥用。

苹果软件部门高级副总裁Craig Federighi 在接受TechCrunch 采访时表示：“我们不会收集用户的数据。在使用面容ID 功能时，一切的信息数据都会保留在用户自己的设备之中，我们不会把它们上传到云端进行更深度的信息识别训练。”

同时，苹果方面也对前面那位参议员的要求作出了书面回应：通过TrueDepth摄像系统和最新的A11 仿生芯片，苹果的面容ID 功能可以实现安全而直接的面部识别，对用户的面部数据进行精准的识别和匹配。一方面，面容ID 数据永远不会离开用户的设备，它们会由“安全区域”进行加密和保护。另一方面，目前，已经对来自不同的国家和地区、不同种族文化的用户进行了面容ID 功能的测试。在对超过10 亿张人像进行神经网络方面的深度学习之后，可以很好地防范各种欺诈行为。

尽管如此，在面对新事物的时候，担忧和质疑也是难免，网友的评论一浪接一浪。“以后朋友让我帮看看这件衣服怎么样，我一瞅屏幕，支付成功了”“半夜老婆趁我睡觉解锁手机怎么办”，甚至，为防止晚上睡觉被盗刷，一款售价28元的淘宝防面部识别解锁面罩已经在朋友圈流传。

人们的担忧虽然有调侃的成分，然而，却并不是杞人忧天。指纹、虹膜、面部识别等生物信息具备唯一性，它们被盗用可能比传统的密码盗号方式影响更大。所以，不仅仅网友们热衷讨论此事，专家也早已提出他们的担忧。

曾经，在USENIX 安全论坛上，来自北卡罗莱纳大学的研究人员展示了他们的3D 脸部建模系统。使用这套系统，研究者们可以直接从 Facebook、 Google + 等社交网络上获取任何人的照片素材，并利用其在 VR 环境中建立 3D 模型，对面部识别系统进行解锁。

在这次试验中，研究人员共测试了 5种来自 iOS 与 Android 平台上的刷脸解锁软件，选取了 20 名志愿者并在其社交网络上挑选 3 到 27 张不等的照片用于建模。最终结果显示，5 个产品中只有 1 个破解效果不理想，其余 4 个则有 55% 至 85%的解锁率。

当时，专家指出，一般来说，防骗性能比较差的面部识别，用普通照片与视频就可破解。研究者首先会使用软件分析社交网络上的照片的面部关键特征，利用标记的关键点进行建模。经过一系列的努力，再把模型放入手机端的虚拟现实系统中，可以让头部模型自然地活动，并展示深度信息。然后，相对弱的刷脸解锁软件就会把这个手机屏幕上的 3D 模型误认为是真人。不过，密歇根州立大学教授 Anil Jain表示：先进的传感器和识别机制可以解决这个问题。比如，若采用人脸的红外信号，这种 VR 3D 模型显然很难复制。所以，当iPhone X开始大规模使用时，Face ID技术是否足够安全和便捷目前还不得而知。但是，不容置疑的是，随着刷脸时代的到来，需要接受的考验第一关就是安全，并将迎来越来越先进的刷脸设备，以保护我们的信息安全。

物联网时代，蓝牙传输的严重漏洞

美国时间 9 月 12 日，物联网安全初创公司 Armis 在官网上公布了一种新型物联网攻击手段:BlueBorne。几乎所有联网设备都可能受其威胁。只要目标设备拥有蓝牙功能，BlueBorne 攻击手段就不需要目标用户进行任何交互操作，不需要任何的前提条件或配置，就能对目标设备进行空中攻击。而且，支持蓝牙功能的设备会不断地从周围搜寻可接入的连接，而不仅仅是那些已经配对的连接。

“这些沉默式的攻击对于传统的安全控制和程序是不可见的，公司不会在环境中监控这些类型的设备到设备的连接，所以他们看不到这些攻击或阻止他们。”Armis CEO Yevgeny Dibrov在一份声明中表示，“这项研究说明了我们在这个新的关联时代面临的各种威胁。”

据DeepTech报道，BlueBorne是利用 8 个蓝牙传输协议漏洞（Bluetooth）对设备进行空中攻击和传播的。Armis 这次披露的漏洞能影响运行在 Android、Linux、Windows 操作系统上的所有设备，还包括 IOS 10 之前版本的所有设备。这意味着几乎所有运行在这些操作系统上的电脑、移动设备、智能电视或其他物联网设备都面临着这 8 个漏洞中至少一个的威胁。

“这些沉默式的攻击对于传统的安全控制和程序是不可见的，公司不会在环境中监控这些类型的设备到设备的连接，所以他们看不到这些攻击或阻止他们。”

——Armis CEO Yevgeny Dibrov

Armis 的研究人员还担心，这次发现的漏洞只是冰山一角，蓝牙传输协议里还存在着大量尚未被发现的漏洞。建议 Windows 用户和 Linux 用户查看最新最准确的安全更新信息。安卓用户可以去Google Play 上下载 Armis 开发的 BlueBorne Scanner 应用。IOS 用户应该将系统版本升级到 IOS 10。

不仅如此，包括许多蓝牙智能锁也都存在安全缺陷，会被非法用户打开，但问题并不出在蓝牙标准本身，而出在它们实施蓝牙标准的方式上。

去年，据TomsGuide网站报道，一名安全研究人员在DEF CON黑客会议上表示，许多蓝牙LE智能锁都会被攻破，被非法用户打开，但相关厂商似乎无意采取什么措施。

电气工程师安东尼·罗斯(Anthony Rose)表示，在他及其同事本·拉姆齐(Ben Ramsey)测试的16款蓝牙智能锁中，在遭到无线攻击时12款会被打开。罗斯表示，“我们在蓝牙智能锁中发现了安全缺陷，然后与相关厂商进行了联系，厂商似乎对此无动于衷。我们与12家厂商进行了接洽，只有一家有回应，‘我们知道这是个问题，但我们不会修正它。’”

问题不在于蓝牙LE协议本身，而在于这些智能锁实施蓝牙通信的方式，或配套的智能手机应用。例如，4款智能锁以明文方式向智能手机传输用户密码，使得任何用户都可以利用价值100美元(约合人民币666元)的蓝牙嗅探器方便地截取密码。

所以，正如DeepTech报道的那样，“传统的安全措施只能阻止通过互联网 IP连接进行传播的黑客攻击。随着物联网设备数量的不断增长，我们迫切需要新的解决方案来应对这种新型物联网空中攻击手段，特别是那些要将内网进行物理隔绝的机构。”

（本文根据TechCrunch、DeepTech、TomsGuide等汇编；整理/陶春）