美的集團是一家領(lǐng)先的消費電器、暖通空調、機器人及工業(yè)化自動(dòng)系統、智能供應鏈的科技集團。2016年,美的集團營(yíng)業(yè)總收入1,590.44億元,凈利潤158.62億元。美的“雙智戰略”的目標之一是大力發(fā)展智慧家居,即通過(guò)互聯(lián)網(wǎng)讓消費電器產(chǎn)品更加智能化,這表明美的的物聯(lián)網(wǎng)戰略已經(jīng)形成。物聯(lián)網(wǎng)的信息安全對美的而言非常重要,美的與國家監測中心檢測中心等多方構建了物聯(lián)網(wǎng)安全技術(shù)聯(lián)合實(shí)驗室,同時(shí)率先推出物聯(lián)網(wǎng)安全Wi-Fi模塊,并已經(jīng)通過(guò)中國信息安全測評中心評測。但美的對物聯(lián)網(wǎng)信息安全的重視永不止步,近期美的與Testin云測達成合作,針對美的空調的移動(dòng)應用進(jìn)行全方位的滲透測試,以充分保障消費者的個(gè)人信息安全和社會(huì )信息安全。
什么是物聯(lián)網(wǎng)
今天,我們已經(jīng)進(jìn)入了物聯(lián)網(wǎng)時(shí)代。
根據全球研究機構Software。org的最新報告顯示,到2020年將有多達500億臺物聯(lián)網(wǎng)(IoT)連接設備,包括智能手機、電視機、手表,管道以及卡車(chē)等。物聯(lián)網(wǎng)將帶來(lái)巨大的經(jīng)濟收益,到2025年,全球經(jīng)濟影響將達到11.1萬(wàn)億美元。
其實(shí),物聯(lián)網(wǎng)無(wú)時(shí)無(wú)刻都在我們身邊:你可能在入住酒店的時(shí)候,手機通過(guò)短信收到房間的智能門(mén)鎖密碼;你可能在進(jìn)入地下車(chē)庫之前,通過(guò)手機啟動(dòng)了汽車(chē)的引擎;在辦公室,你可能通過(guò)手機調節家里的空調溫度,讓在家等你的拉布拉多犬更舒適一些。實(shí)際上,在未來(lái)幾年,電視、空調、汽車(chē)、手表、攝像機、門(mén)鎖、音箱都將成為物聯(lián)網(wǎng)的一部分,而人們是通過(guò)用手機操作這些物聯(lián)網(wǎng)設備,從而讓這些設備更智能。
物聯(lián)網(wǎng)被視為繼計算機、互聯(lián)網(wǎng)之后,世界信息產(chǎn)業(yè)發(fā)展的第三次浪潮。物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的應用拓展,與其說(shuō)物聯(lián)網(wǎng)是網(wǎng)絡(luò ),不如說(shuō)物聯(lián)網(wǎng)是業(yè)務(wù)和應用。因此,根據應用設備的不同,物聯(lián)網(wǎng)又進(jìn)一步被劃分為車(chē)聯(lián)網(wǎng)、智能家居、可穿戴設備、工控設備。
美的的物聯(lián)網(wǎng)戰略
美的集團是全球領(lǐng)先的消費電器、機器人及工業(yè)自動(dòng)化系統、智能供應鏈(物流)的科技集團,它提供多元化的產(chǎn)品和服務(wù),包括以廚房家電、冰箱、洗衣機、及各類(lèi)小家電的消費電器業(yè)務(wù)、以家用空調、中央空調、供暖及通風(fēng)系統的暖通空調業(yè)務(wù)。過(guò)去五年來(lái),美的集團致力于實(shí)施“智慧家居智能制造”雙智戰略,將積極開(kāi)放、協(xié)作、融入到產(chǎn)品智能化中,并推動(dòng)“以用戶(hù)為中心”的戰略轉型。
2014年3月,美的正式向智能行業(yè)進(jìn)軍,首款推出智能產(chǎn)品是物聯(lián)網(wǎng)智能空調,可以實(shí)現家電產(chǎn)品的互通互聯(lián)和遠程控制。同年,美的正式對外發(fā)布M-Smart戰略,實(shí)現全品智能化覆蓋。2016年美的正式發(fā)布M-Smart智慧生態(tài)計劃,宣布智慧生活運營(yíng)服務(wù)平臺開(kāi)放落地。在過(guò)去至少五年時(shí)間里,美的集團基本上完成了從功能型家電向智能家電產(chǎn)品的轉型與布局。
物聯(lián)網(wǎng)的信息安全不可忽視
根據Gartner報告預測,2020年全球IOT物聯(lián)網(wǎng)設備數量將高達260億個(gè)。但是由于安全標準滯后,以及智能設備制造商缺乏安全意識和投入,物聯(lián)網(wǎng)已經(jīng)埋下極大隱患,是個(gè)人隱私、企業(yè)信息安全甚至國家關(guān)鍵基礎設施的頭號安全威脅。試想一下,無(wú)論家用或企業(yè)級的互連設備,如接入互聯(lián)網(wǎng)的交通指示燈、恒溫器,或醫用監控設備遭到攻擊,后果都將非常可怕。
現實(shí)情況是,針對物聯(lián)網(wǎng)的安全攻擊事件,現在已屢見(jiàn)不鮮,我們會(huì )發(fā)現很多與安全相關(guān)的駭人聽(tīng)聞的事件,例如:汽車(chē)被黑客遠程操縱而失控、攝像頭被入侵而遭偷窺、聯(lián)網(wǎng)的烤箱被惡意控制干燒、洗衣機空轉等等這些信息安全問(wèn)題已經(jīng)影響到了我們的人身、財產(chǎn)、生命安全乃至國家安全。
美的集團非常重視物聯(lián)網(wǎng)的信息安全,智慧家居作為美的集團雙智戰略的重要部分,美的智慧始終將產(chǎn)品的安全問(wèn)題視作質(zhì)量問(wèn)題,投入重點(diǎn)資源對智慧家居的安全體系進(jìn)行完善,在帶給用戶(hù)最好的智能體驗同時(shí),保證用戶(hù)的信息安全。
美的集團對信息安全的高度重視是有原因的。2017年,我國曝光了大量利用家庭和工作場(chǎng)所中成千上萬(wàn)的存在安全漏洞的物聯(lián)網(wǎng)設備生成流量而發(fā)起的大型DDoS攻擊。不僅如此,專(zhuān)業(yè)的網(wǎng)絡(luò )罪犯未來(lái)還可能利用不斷增長(cháng)的互聯(lián)家庭設備,攻擊更多的目標。在智能家居時(shí)代,當智能家居收集的用戶(hù)信息足夠詳細時(shí),用戶(hù)個(gè)人信息在互聯(lián)網(wǎng)上泄露的風(fēng)險也就越大。同時(shí),美的集團高度重視2016年頒布的《網(wǎng)絡(luò )安全法》,2016年11月7日,《網(wǎng)絡(luò )安全法》由第十二屆全國人大常委會(huì )表決通過(guò),將于2017年6月1日起施行,這是我國第一部全面規范網(wǎng)絡(luò )空間安全的基礎性法律,是建設網(wǎng)絡(luò )強國的制度保障。
智能空調產(chǎn)品也可以被攻破
智能家居信息安全隱患背后原因,其中之一是有些生產(chǎn)企業(yè)和用戶(hù)信息安全意識不強。智能家居生產(chǎn)企業(yè)通常并不特別關(guān)注數據安全問(wèn)題,普通用戶(hù)一般意識不到智能家居所面臨的信息泄露威脅,這都是智能家居成為犯罪分子進(jìn)行網(wǎng)絡(luò )攻擊、竊取個(gè)人數據甚至利用竊取的信息對用戶(hù)進(jìn)行敲詐勒索的原因。在2016年的央視315晚會(huì )上,節目矛頭直接指向智能家居產(chǎn)品,對其安全問(wèn)題進(jìn)行了重點(diǎn)曝光。節目曝光了一起黑客可以利用安全漏洞入侵某智能家居系統的事件,家里的智能設備可以被黑客所掌控,通過(guò)控制攝像頭可以窺探到個(gè)人隱私,可以隨意控制各種家電的狀態(tài)、智能門(mén)鎖的打開(kāi)和關(guān)閉。
安靜地坐落在角落里的空調,一旦智能化,也會(huì )成為黑客用于非法獲取用戶(hù)信息,甚至破壞社會(huì )穩定的入口。2016年的安全分析師峰會(huì )上,一項實(shí)驗表明,只要口袋里揣上50美元,任何人都可以破解一戶(hù)鄰居家的空調。如果一個(gè)人選對了時(shí)間和地點(diǎn),甚至可以讓附近地區停電。
這怎么可能?但這是真的。
在美國政府的鼓勵下,如果用戶(hù)允許電力供應商在用電高峰期間把空調關(guān)掉,每年用戶(hù)就能節省200美元。空調器的這種功能是通過(guò)遠程控制完成的,運營(yíng)商會(huì )通過(guò)特定的無(wú)線(xiàn)電頻率發(fā)送命令,關(guān)閉空調,這為黑客攻破空調創(chuàng )造了機會(huì )。
研究人員檢查發(fā)現,當時(shí)所有的接收器都沒(méi)有加密和身份驗證方案。因此任何人可以發(fā)出更強的信號控制空調設備。如果你能拿出150美元,你就可以控制附近的街區。但如果你是一個(gè)財力雄厚的罪犯,那就能控制整個(gè)城市。
智能空調如果安全做得不到位,那么將不僅威脅到個(gè)人信息的安全,而且可能會(huì )影響到社會(huì )的穩定。美的集團認為,安全是智慧家居的必備屬性,只有構建安全體系,智慧家居才有可控之力,才能實(shí)現其真正的價(jià)值所在。因此,美的致力于與產(chǎn)業(yè)鏈合作伙伴共同推進(jìn)智慧家居互聯(lián)安全體系建設,全方位打造智慧家居安全防護網(wǎng),為用戶(hù)提供安全可控的智慧家居產(chǎn)品和服務(wù)。
為什么美的與Testin在安全上合作?
美的空調擁有國內外數億的海量用戶(hù),為用戶(hù)提供一個(gè)安全可信賴(lài)的物聯(lián)網(wǎng)環(huán)境,保護用戶(hù)信息安全是美的空調的核心原則。因此,美的空調和Testin云測安全充分溝通,在了解Testin云測安全所具備的專(zhuān)家實(shí)力后,采用Testin的云測物聯(lián)網(wǎng)智能家居安全的滲透測試服務(wù)。由擁有近20年安全從業(yè)經(jīng)驗及曾任微軟大中華區信息安全總監的Testin云測首席安全顧問(wèn)何迪生帶領(lǐng)團隊,在物聯(lián)網(wǎng)智能家居安全測試研究方面結合了智能化自動(dòng)測試及專(zhuān)家滲透測試兩方面的優(yōu)點(diǎn),大大提高滲透測試在物聯(lián)網(wǎng)安全漏洞挖掘的綜合能力。
先簡(jiǎn)要說(shuō)一下什么是滲透測試。滲透測試是安全測試工程師模擬攻擊者的思路、技術(shù)、策略和手段,對給定應用系統的安全問(wèn)題進(jìn)行全面的檢測和評估的過(guò)程。換句話(huà)來(lái)說(shuō),滲透測試是對應用系統的“健康檢查”,能盡早地挖掘現存弱點(diǎn),并輸出滲透測試報告提交給系統所有者。根據報告,所有者可以清晰知曉系統中存在的安全隱患和問(wèn)題,作為問(wèn)題修復的依據來(lái)進(jìn)行安全防護,以提高系統的安全性。
因為美的空調是智能設備,就是說(shuō)用戶(hù)可以用手機里的App或者微信來(lái)操作,所以Testin安全團隊需要支持對Android、iOS、Web、H5、微信公眾號等這些常見(jiàn)應用的滲透測試。Testin安全團隊采用人工檢測為主并輔以自動(dòng)化檢測工具的方式,在保證應用系統穩定運行的前提下,對美的空調應用進(jìn)行全面的、深度的滲透測試,尋找潛在的安全漏洞和隱患。Testin安全團隊,針對美的空調應用在滲透測試后發(fā)現的安全漏洞和隱患,積極充分地與美的進(jìn)行修復方案的有效性評估,通過(guò)回歸測試來(lái)驗證漏洞修復后的效果,并將最新的測試報告發(fā)送給美的。聯(lián)系電話(huà):400-151-5577
附:由中國云測試先驅Testin云測牽頭舉辦的首屆中國云測試行業(yè)峰會(huì )將于2018年9月2日在北京國際會(huì )議中心開(kāi)幕。本屆峰會(huì )以“專(zhuān)注測試,賦能未來(lái)”為主題,探討云測試行業(yè)面臨的新機遇新挑戰。這是中國軟件測試領(lǐng)域的一次盛會(huì ),也是行業(yè)頂級專(zhuān)家的聚會(huì )。如果您希望現場(chǎng)與大咖交流,機會(huì )不容錯過(guò),如果您是測試領(lǐng)域人士或對測試感興趣,歡迎報名獲取早鳥(niǎo)票。
