美的集团是一家领先的消费电器、暖通空调、机器人及工业化自动系统、智能供应链的科技集团。2016年,美的集团营业总收入1,590.44亿元,净利润158.62亿元。美的“双智战略”的目标之一是大力发展智慧家居,即通过互联网让消费电器产品更加智能化,这表明美的的物联网战略已经形成。物联网的信息安全对美的而言非常重要,美的与国家监测中心检测中心等多方构建了物联网安全技术联合实验室,同时率先推出物联网安全Wi-Fi模块,并已经通过中国信息安全测评中心评测。但美的对物联网信息安全的重视永不止步,近期美的与Testin云测达成合作,针对美的空调的移动应用进行全方位的渗透测试,以充分保障消费者的个人信息安全和社会信息安全。
什么是物联网
今天,我们已经进入了物联网时代。
根据全球研究机构Software.org的最新报告显示,到2020年将有多达500亿台物联网(IoT)连接设备,包括智能手机、电视机、手表,管道以及卡车等。物联网将带来巨大的经济收益,到2025年,全球经济影响将达到11.1万亿美元。
其实,物联网无时无刻都在我们身边:你可能在入住酒店的时候,手机通过短信收到房间的智能门锁密码;你可能在进入地下车库之前,通过手机启动了汽车的引擎;在办公室,你可能通过手机调节家里的空调温度,让在家等你的拉布拉多犬更舒适一些。实际上,在未来几年,电视、空调、汽车、手表、摄像机、门锁、音箱都将成为物联网的一部分,而人们是通过用手机操作这些物联网设备,从而让这些设备更智能。
物联网被视为继计算机、互联网之后,世界信息产业发展的第三次浪潮。物联网是互联网的应用拓展,与其说物联网是网络,不如说物联网是业务和应用。因此,根据应用设备的不同,物联网又进一步被划分为车联网、智能家居、可穿戴设备、工控设备。
美的的物联网战略
美的集团是全球领先的消费电器、机器人及工业自动化系统、智能供应链(物流)的科技集团,它提供多元化的产品和服务,包括以厨房家电、冰箱、洗衣机、及各类小家电的消费电器业务、以家用空调、中央空调、供暖及通风系统的暖通空调业务。过去五年来,美的集团致力于实施“智慧家居智能制造”双智战略,将积极开放、协作、融入到产品智能化中,并推动“以用户为中心”的战略转型。
2014年3月,美的正式向智能行业进军,首款推出智能产品是物联网智能空调,可以实现家电产品的互通互联和远程控制。同年,美的正式对外发布M-Smart战略,实现全品智能化覆盖。2016年美的正式发布M-Smart智慧生态计划,宣布智慧生活运营服务平台开放落地。在过去至少五年时间里,美的集团基本上完成了从功能型家电向智能家电产品的转型与布局。
物联网的信息安全不可忽视
根据Gartner报告预测,2020年全球IOT物联网设备数量将高达260亿个。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备,如接入互联网的交通指示灯、恒温器,或医用监控设备遭到攻击,后果都将非常可怕。
现实情况是,针对物联网的安全攻击事件,现在已屡见不鲜,我们会发现很多与安全相关的骇人听闻的事件,例如:汽车被黑客远程操纵而失控、摄像头被入侵而遭偷窥、联网的烤箱被恶意控制干烧、洗衣机空转等等这些信息安全问题已经影响到了我们的人身、财产、生命安全乃至国家安全。
美的集团非常重视物联网的信息安全,智慧家居作为美的集团双智战略的重要部分,美的智慧始终将产品的安全问题视作质量问题,投入重点资源对智慧家居的安全体系进行完善,在带给用户最好的智能体验同时,保证用户的信息安全。
美的集团对信息安全的高度重视是有原因的。2017年,我国曝光了大量利用家庭和工作场所中成千上万的存在安全漏洞的物联网设备生成流量而发起的大型DDoS攻击。不仅如此,专业的网络罪犯未来还可能利用不断增长的互联家庭设备,攻击更多的目标。在智能家居时代,当智能家居收集的用户信息足够详细时,用户个人信息在互联网上泄露的风险也就越大。同时,美的集团高度重视2016年颁布的《网络安全法》,2016年11月7日,《网络安全法》由第十二届全国人大常委会表决通过,将于2017年6月1日起施行,这是我国第一部全面规范网络空间安全的基础性法律,是建设网络强国的制度保障。
智能空调产品也可以被攻破
智能家居信息安全隐患背后原因,其中之一是有些生产企业和用户信息安全意识不强。智能家居生产企业通常并不特别关注数据安全问题,普通用户一般意识不到智能家居所面临的信息泄露威胁,这都是智能家居成为犯罪分子进行网络攻击、窃取个人数据甚至利用窃取的信息对用户进行敲诈勒索的原因。在2016年的央视315晚会上,节目矛头直接指向智能家居产品,对其安全问题进行了重点曝光。节目曝光了一起黑客可以利用安全漏洞入侵某智能家居系统的事件,家里的智能设备可以被黑客所掌控,通过控制摄像头可以窥探到个人隐私,可以随意控制各种家电的状态、智能门锁的打开和关闭。
安静地坐落在角落里的空调,一旦智能化,也会成为黑客用于非法获取用户信息,甚至破坏社会稳定的入口。2016年的安全分析师峰会上,一项实验表明,只要口袋里揣上50美元,任何人都可以破解一户邻居家的空调。如果一个人选对了时间和地点,甚至可以让附近地区停电。
这怎么可能?但这是真的。
在美国政府的鼓励下,如果用户允许电力供应商在用电高峰期间把空调关掉,每年用户就能节省200美元。空调器的这种功能是通过远程控制完成的,运营商会通过特定的无线电频率发送命令,关闭空调,这为黑客攻破空调创造了机会。
研究人员检查发现,当时所有的接收器都没有加密和身份验证方案。因此任何人可以发出更强的信号控制空调设备。如果你能拿出150美元,你就可以控制附近的街区。但如果你是一个财力雄厚的罪犯,那就能控制整个城市。
智能空调如果安全做得不到位,那么将不仅威胁到个人信息的安全,而且可能会影响到社会的稳定。对于美的集团而言,认为安全是智慧家居的必备属性,只有构建安全体系,智慧家居才有可控之力,才能实现其真正的价值所在。因此,美的致力于与产业链合作伙伴共同推进智慧家居互联安全体系建设,全方位打造智慧家居安全防护网,为用户提供安全可控的智慧家居产品和服务。
为什么美的与Testin在安全上合作?
美的空调拥有国内外数亿的海量用户,为用户提供一个安全可信赖的物联网环境,保护用户信息安全是美的空调的核心原则。因此,美的空调和Testin云测安全充分沟通,在了解Testin云测安全所具备的专家实力后,采用Testin的云测物联网智能家居安全的渗透测试服务。由拥有近20年安全从业经验及曾任微软大中华区信息安全总监的Testin云测首席安全顾问何迪生带领团队,在物联网智能家居安全测试研究方面结合了智能化自动测试及专家渗透测试两方面的优点,大大提高渗透测试在物联网安全漏洞挖掘的综合能力。
先简要说一下什么是渗透测试。渗透测试是安全测试工程师模拟攻击者的思路、技术、策略和手段,对给定应用系统的安全问题进行全面的检测和评估的过程。换句话来说,渗透测试是对应用系统的“健康检查”,能尽早地挖掘现存弱点,并输出渗透测试报告提交给系统所有者。根据报告,所有者可以清晰知晓系统中存在的安全隐患和问题,作为问题修复的依据来进行安全防护,以提高系统的安全性。
因为美的空调是智能设备,就是说用户可以用手机里的App或者微信来操作,所以Testin安全团队需要支持对Android、iOS、Web、H5、微信公众号等这些常见应用的渗透测试。Testin安全团队采用人工检测为主并辅以自动化检测工具的方式,在保证应用系统稳定运行的前提下,对美的空调应用进行全面的、深度的渗透测试,寻找潜在的安全漏洞和隐患。Testin安全团队,针对美的空调应用在渗透测试后发现的安全漏洞和隐患,积极充分地与美的进行修复方案的有效性评估,通过回归测试来验证漏洞修复后的效果,并将最新的测试报告发送给美的。