近日,AIoT技术前沿论坛·OASES联盟行业技术交流会在京举行。百度安全专家代表、泰尔实验室专家、业界安全专家、OASES联盟成员代表,齐聚一堂,围绕AIoT行业安全挑战、现状、发展趋势,安全生态建设等话题,进行了深度交流。
交流会现场,百度AI安全技术总监聂科峰发表了主题为“安全OTA:构筑智能终端生命防线”的演讲。他指出,OTA服务帮助智能设备完成对系统、应用及数据的管理升级,肩负着系统漏洞修复的重任,是智能设备系统安全的“生命防线”。但当前的OTA服务中,升级包的来源、认证、数据、通信等方面,均存在不可小视的安全隐患,急需提升安全性。百度安全OTA基于以上生态缺口应运而生,它为智能设备厂商提供专业、高效的OTA升级服务同时,强化安全能力的输出,为智能设备终端的“生命防线”加一道锁。
OTA安全风险频发,急需提升安全性
据介绍,智能设备中,OTA有重要的用途,包括能够帮助系统修复BUG和安全漏洞,实现系统升级,ABTest功能验证,实现本地内容、资源运营等。但目前由于安全能力不足,OTA已成为黑客入侵设备的首要目标之一。百度AI安全团队对超过40款智能终端进行了OTA安全评估,数据显示:95%设备未能保护OTA升级包的数据内容,90%设备无法抵御通信过程中的中间人攻击,61%设备可强制将系统/APP版本降级至低版本。
聂科峰表示,OTA服务目前存在一系列安全风险,包括通信劫持、降级攻击、嗅探分析、内容替换等。“提升OTA的安全性,需要聚焦‘谁给的数据’、‘给谁的数据’、‘数据保护’、‘通信保护’等四大核心场景,有针对性地接入先进的安全防护技术。目前可以通过签名校验、双向认证、升级包加密、通讯安全防护等技术手段提升安全能力。”
百度安全打造安全、专业、高效的OTA升级服务
针对OTA安全问题,百度安全依托多年互联网安全实战经验和深厚的技术实力,打造了一套安全、专业、高效的OTA升级解决方案,可为智能设备提供从云端安全、数据传输到设备端安全的一体化安全防护。
该方案为智能设备OTA提供了六大安全保障,覆盖安全审计、传输安全、升级策略、升级防护、云端防护、KMS密钥管理等方面。安全审计能够覆盖管理平台的下发服务及所有平台SDK;传输安全能够实现全流量TLS;升级策略可帮助设备防降级,实现签名校验,完整性校验,权限校验等;升级防护提供安装包加密,设备认证,安装包安全检测等能力;云端防护提供DDOS防护,WAF防护和OpenRASP防护;KMS密钥管理则能进一步提升系统密钥安全。
目前,百度安全OTA已经向智能家居、智能可穿戴、智慧驾驶、工业物联网等多个领域开放,为厂商提供安全现状可监控、安全问题可解决的系统升级和修复方案,目前已为美的空调、搭载百度DuerOS的小青AI音箱等智能终端提供服务及保障,近期还将有更多品牌设备陆续接入。
OASES联盟倡导开放共享的安全生态
在智能终端产品激烈竞争、易陷入同质化困局的今天,伴随着用户安全意识的觉醒,安全能力的角逐已成为智能终端产品突围的重要突破口之一。然而,进入AIoT时代,智能终端面对着全新的攻防问题,厂商面临的将是更复杂、更多维度、更深层次的生态系统级别的安全挑战,传统上各自为战、独善其身的安全方案已难满足升级的安全需求,迫切需要更加专业、可靠的安全合作伙伴共筑智能家居安全新长城。
基于此,百度安全凭借18年安全技术能力的积累与实践,联合华为、中国信息通信研究院发起成立了OASES联盟,由安全厂商、设备厂商、高校科研机构、政府机构共同组成,旨在用技术让智能终端生态更安全,通过技术赋能、标准驱动、生态共建、产业共赢的理念,与联盟合作伙伴共同推动安全技术与服务的应用落地,推进智能终端产业的快速、健康发展,共建安全的AI 时代。OASES联盟的生态开放性,吸引了一批企业和高校专家加入。发展至今,联盟成员已达30余家,包含安全厂商犇众信息、Keen/GeekPwn、NewSky Security、腾御安(TYA)、安天和TrustKernel,终端企业华为、中兴、创维、长虹、康佳、暴风TV、TCL、极米、蓝港、Mstar、浪潮、海尔优家、全志等,以及来自清华大学、复旦大学、中国科学院、上海交通大学、佛罗里达州立大学等中外顶尖院校的专家学者。