内容转载

= ̄ω ̄= 内容转载

美国 Uber 因侵犯隐私 20 年内将受监督

有消息称,近日,Uber和美国政府达成和解协议,美政府要求Uber采取一系列整改措施,另外在未来20年内,需有第三方对Uber的软件和相关行为进行监督。 据外媒报道,美国政府联邦贸易委员会(FTC)因Uber随意采集消费者和专车司机的个人隐私数据,并没有做好保护措施对其展开调查。双方就此作出和解。 FTC指控称,Uber没有对下属员工的行为进行监督,导致他们能够随意获取消费者和司机的隐私数据。并且Uber在两个方面误导了消费者:对于能够访问隐私数据的内部员工,在其监督机制方面进行了误导宣传;Uber宣称会采取措施保护这些数据,这也是一个误导行为。 根据和解协议,政府要求Uber公司解决现有全部产品和服务中的个人隐私风险,另外要确保个人隐私信息的保密工作。在未来180天以及20年之内(每隔两年),Uber必须接受第三方机构对于个人隐私和数据保护措施的审核和监督。 有消息称,Uber前CEO卡兰尼克被大股东告上法庭后,Uber全球运营高级副总裁瑞恩·格拉夫斯在发给员工的邮件中宣布离职。近日,外媒报道Uber开发者平台主管克里斯·萨布将会离职。   稿源:北京商报,封面源自网络;

物联网产业规模将达到 9 万亿 网络安全投入却不足 3%

万物互联的智慧生活渐行渐近, 物联网 是现代科技高度集成和综合运用的体现,对新时代产业变革和社会经济发展具有决定性位置。当前,物联网设备呈现指数级增长态势,然而在物联网高速增长下,安全问题却暴露出来。 根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。 一个看似不起眼的物联网设备,却成了黑客攻击的目标。因为它称得上是整个赌场内部网络的“后门”——最薄弱环节,黑客先是入侵智能鱼缸,进入赌场内部网络,然后进行扫描,发现漏洞后进入网络中的其他地方,最终神不知鬼不觉地将赌场数据窃取。数据安全不仅涉及国家数据主权安全、企业和公民个人网络安全,也和IT以及互联网行业的创新密切相关。 试想一下,黑客通过某种途径读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头……似乎已经掌握你衣食住行的方方面面,立刻毛骨悚然。用户会越来越多地发现各类软件的“大数据”可能比我们自己还了解自己,这些大数据其实就是通过对用户日常生活轨迹的记录、累积和统计,再使用分析软件得出结论,保护好自己的数据不言而喻,真正能够保护自身数据安全的物联网设备才是第一道闸门。 物联网设备成为黑客攻击的捷径并非危言耸听。2014年1月发生的针对物联网设备的一起攻击行为,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。 针对物联网设备攻击的危害远不止于数据失窃那么简单。将勒索软件安装到家庭的智能恒温器上。将温度调高到95摄氏度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。随着无人驾驶日益普及,黑客可以控制车辆,乃至引发交通事故。 物联网设备安全远比你想象中威胁大,近年来,网络安全建设受到政策大力支持,尤其是网络安全法正式实施后,相关政策加速出台。涉及网络安全的配套政策快速下沉到电信、互联网、工业、教育、农业等行业。网络安全风口以至,网络安全行业快速发展,网络安全投资迎来热潮。2017年,安全领域创业企业总融资额创新高。据不完全统计,网络安全领域当年全球投资300亿美元,国内仅为5.4亿美元;据分析,在欧美发达国家和地区,企业在网络安全方面的投入占IT方面投入达到10%-13%,国内仅1%-3%。 网络安全包括多个层面及维度,细分市场广泛。随着云计算和大数据时代到来,数据安全受到越来越多的重视,将成为行业发展风口。 稿源:搜狐科技,封面源自网络;

人民日报:个人信息,利用好更需保护好

平衡好信息开发利用与保护个人信息安全的关系,事关每个人的合法权益,也关乎数字经济能否真正行稳致远 连日来,个人信息安全问题,再度引发广泛关注。一款提供航班动态服务查询的APP,因为新增了“可查看同机人主页”功能,让使用者感到个人信息暴露于外;工信部“黑名单”显示,46款APP涉嫌强行捆绑推广其它应用软件、未经用户同意收集和使用用户个人信息;视频网站A站发布公告称,因为遭受黑客攻击,近千万条用户数据外泄。这再次警示我们,要处理好数字经济发展中的隐私保护问题。 信息技术革命方兴未艾,个人信息具有很高的商业价值。从数字经济规模跃居全球第二,到手机支付、共享经济、“互联网+”等新业态、新模式引领世界潮流,当下中国,数字经济正成为驱动高质量发展、引领经济社会革新的加速器。互联网大范围、深层次地拓展了发展空间,也带来了隐私保护的风险挑战。信息技术推动社会变革与信息安全风险不断加剧的矛盾这一世界性课题,日益摆在我们面前。可以说,平衡好信息开发利用与保护个人信息安全的关系,事关每个人的合法权益,也关乎数字经济能否真正行稳致远。 个人信息的适度收集、使用,是数字经济发展的必然前提,但搜集信息数据与建立数据信任是同等重要的。这意味着,用户有决定是否让渡个人部分信息、让渡哪些信息的权利,企业也有尊重用户意愿、保护用户隐私的义务。在网络安全和个人信息安全的红线前,谁都不能成脱缰之马,谁也没有超越法律的特权。为图经营之便非法收集用户信息、挖掘用户偏好,类似做法犹如沙滩上盖楼,难以真正支撑数字经济的大厦。哪些数据具有私人性,哪些数据具有公共性,哪些信息一次授权一次使用,哪些信息一次授权可以自由流动,企业和用户的责任如何界定、后果如何分担,回答好这些问题,还需要政府、企业和社会凝聚更多智慧、共识和合力。 创新无疆界,但创新有规矩。不久前召开的全国网信工作会议强调,行业、企业作为关键信息基础设施运营者承担主体防护责任。这意味着互联网企业不仅要克制谋利冲动、遵守法律规定,守住不拿用户隐私信息做交易的底线,更应该在设计新产品和新的商业模式时,就把隐私保护考虑进去,解决好安全与发展的关系。没有隐私保护的创新注定行之不远,唯有兼顾了信息安全的新产品、新模式,才能经得起市场的检验。 隐私保护和信息安全仅靠行业自律和企业自觉远远不够,还需要相关管理部门加强立法和监管。在依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为之外,主管部门更应把监管关口前移,完善信息采集、存储、利用、开放的基础规则和治理模式。新技术发展到哪里,隐私保护和执法监管就要挺进到哪里。只有真正筑起信息安全的防火墙,才能打牢数字经济发展的地基。 谁掌握了互联网,谁就把握住了时代主动权;谁能更好推动契合互联网发展需要的治理变革、社会变革,谁就能更好适应和引领信息化发展。今天,数字经济已经无处不在,唯有守住信息安全阵脚,我们才能更好把握信息浪潮的发展机遇,畅享数字经济的时代红利。   稿源:人民日报,作者:李斌,封面源自网络;

外媒称 iOS 12 的新安全机制已遭破解

新浪手机讯 6月15日上午消息, 在昨天新浪科技的报道中,苹果公司证实他们在iOS 12系统中加了新的USB连接限制,既iPhone在一小时内没解锁过,那它连接电脑时必须要输入密码。 然而,根据Vice的一份最新报告显示,暴力破解设备(GrayKey灰钥匙)的研究人员已经破解了这个新功能。 GrayKey USB Restricted Mode(USB限制模式)是为了阻止GrayKey这样的破解设备而新增加的安全措施。GrayKey的工作原理是通过数据线连接iPhone,并使用暴力手法来获取访问权限。GrayKey和其他类似工具在执法机构以及犯罪分子中非常受欢迎。 在Vice收到的一封电子邮件中,相关执法机构的专家声称,Grayshift(GrayKey的生产公司)已经研究出新技术,用来破解苹果最新的USB限制模式: “Grayshift已经竭尽全力研究新的技术,并且他们已经在这项新技术的测试版本中破解了苹果最新的USB限制模式。GrayKey中还集成了更多新的功能,这些功能会陆续使用。“一位法医专家在6月份的一封电子邮件中写道。 在这封邮件被刊登在Vice上之后,人们对苹果最新的安全策略产生了质疑。但是要知道这些破解设备的公司经常会公布一些没有证据的信息来误导人们。但这些不知真假的信息会促使苹果实施更严格的安全措施来阻止像GrayKey这样的工具。 GrayKey操作界面 正如苹果在声明中所说的那样,USB限制模式并不是为了限制执法机构的工作,而是因为许多犯罪分子也使用像GrayKey类似的破解设备访问私人数据。但是,苹果的限制措施也让执法机构的工作人员很忧虑。 根据苹果公司的说法,USB限制模式目前正处于测试阶段,并将很快面向公众推出。   稿源:新浪手机,封面源自网络;

工信部公布手机APP“黑名单” 46 款不良应用被下架

环球网科技报道,6月13日,工信部发布“2018年一季度检测发现问题的应用软件名单”,其中,涉及21个应用商店,46款App。所涉问题主要包括强行捆绑推广其它应用软件;未经用户同意,收集、使用用户个人信息;用户不知情的情况下,自动向外发送短信等。 环球网科技记者在名单中发现,此次下架的46款不良应用中,不乏一些知名APP,例如,“今日头条新闻”、“QQ同步管理助手”、“安卓优化大师”等。具体来看,应用商店“免费市场”中,今日头条新闻V1.0.0、经典连连看V9.0.0等6款应用,涉及强行捆绑推广其他应用软件;应用商店“久友下载站”中,QQ同步管理助手V5.2.0、懒人听讲座V3.0.0等5款应用,涉及强行捆绑推广其他应用软件;应用商店“找游戏手游网”中,“我的世界”(我的海盗船世界)V1.0,则涉及在用户不知情的情况下,自动向外发送短信。 据了解,今年一季度,工信部对56家手机应用商店的4万款应用软件进行技术检测,发现违规软件46款,涉及强行捆绑推广其他应用软件、未经用户同意收集使用用户个人信息等问题,已责令下架。并对2017年电信服务和收费拨测中存在问题的21项业务进行集中复查,结果显示17项业务已关停,4项业务已整改,整改落实情况良好。 对此,工业和信息化部提醒广大用户,要从正规渠道下载手机应用软件,安装时注意阅读服务协议、用户隐私政策和手机权限调用说明,增强防范意识,维护自身合法权益。在下载使用WiFi(无线局域网)分享类手机应用软件时,应防范可能存在的风险,谨慎分享自己的WiFi密码,加强自我保护,强化风险意识。勿将本人手机卡或本人身份证随意提供和倒卖给他人使用,不给不法分子可乘之机,切实保护自身合法权益。 附:46款被下架不良APP名单   稿源:环球网,记者:林迪,封面源自网络;  

GDPR 生效后谷歌、FB 遭 19 起投诉 欧盟或进行隐私调查

新浪科技讯 北京时间6月14日早间消息,自从欧盟《通用数据保护条例》(GDPR)今年5月底生效以来,已经出现19起针对谷歌和Facebook及相关应用提交的跨境投诉,导致这两家公司和产品可能遭到欧盟的隐私调查。 欧盟隐私执法最高官员安德里亚·杰利尼克(Andrea Jelinek)负责领导28个欧盟成员国的监管者,她和她的同事已经开始了解自5月25日以来提交的投诉。但她表示,此举的目的并不是立刻进行处罚。 “我们需要传达一条重要信息,那就是我们的首要任务不是处罚企业,而是看看他们是否合规。”她说。但如果企业“不遵守监管规定,就会面临处罚”。 Facebook回应此事时提供了GDPR生效后遭到第一起投诉时发表的声明:“我们过去18个月一直在做各种准备,以遵守GDPR的要求……我们提高隐私保护的工作不会在5月25日停止。” 谷歌母公司Alphabet尚未作出回应。   稿源:新浪科技,封面源自网络;

苹果将修复 iPhone 漏洞,美警方愤怒:没法破解了

网易科技讯 6月14日消息,据国外媒体报道,苹果计划对iPhone进行安全更新,在手机锁定一小时后禁用手机充电和数据端口。这种做法让警方以及其他政府工作人员无法通过此前方法解锁iPhone,再次引发了一场关于政府是否有权访问用户个人设备的争论。 长期以来苹果一直把iPhone定位为一款只有用户本人才能解锁的安全设备,这导致了苹果与政府执法人员就从用户设备获取信息不断发生冲突。早在2016年,苹果就公然拒绝协助美国联邦调查局(FBI)解锁一名凶案嫌犯的iPhone,在业内引起了广泛关注。 最终FBI找来第三方机构,采取付费方式绕过了苹果的安全设置。从那时起,全国各地的执法机构越来越多地采用这一策略来解锁iPhone,寄希望从破解的iPhone中提取出破案的关键信息。 但是现在,苹果正在修复这一技术漏洞,这种做法让警方以及其他政府工作人员无法通过此前方法解锁iPhone,再次引发了一场关于政府是否有权访问用户个人设备的争论。 苹果表示,正计划推出iPhone软件更新,以便在手机锁定一小时后禁用手机充电和数据端口。据悉,更新后的iOS系统将阻止执法机构利用一个有争议的漏洞来破解锁定的iPhone。在即将发布的更新版iOS(可能是iOS 12)中,苹果将包发布一项称为USB限制模式((USB Restricted Mode))的功能,该功能限制通过USB端口访问锁定的iPhone。 该功能以前曾在iOS 11.3测试版中出现,也曾包含在iOS 12测试版中,现在苹果已确认该安全补丁将成为更新版iOS系统的一部分。在使用USB限制模式时,iPhone的Lightning端口将在手机锁定一小时后失效。在这种默认模式下,用户只能通过Lightning端口对手机进行充电。如果想要使用端口在其他电子设备和iPhone之间传输数据,用户首先需要输入手机密码。 苹果公司在一份电子邮件声明中表示:“我们不断加强每款苹果产品的安全保护,以帮助客户抵御黑客,身份窃贼窃取个人数据……我们非常尊重执法部门,我们不会通过安全设计改进来挫败他们的努力。” 该解决方案应该会阻止像GrayShift和Cellebrite开发的那些iPhone破解设备。特别是GrayShift的GrayKey等设备,使用USB端口访问锁定的iPhone,通过反复尝试解锁密码,该设备承诺甚至可以解锁新的iPhone手机。整个破解过程可能需要两个小时到三天以上的时间,具体取决于iPhone密码的长度。 这无疑会影响到执法人员的工作。执法人员通常会在智能手机最后一次解锁后的几天甚至几个月内,通过手机数据端口连接另一台运行特殊软件的设备来打开锁定的iPhone。苹果计划的软件更新的消息已经开始通过安全博客在执法机构传播开来,许多调查机构对此都感到愤怒。 “如果我们再回到我们无法访问iPhone的情况,现在我们能够直接调查的所有证据都将消失,我们也无法将所有的孩子都置于安全保护之下。”印地安那州警察特别工作组的查克·科恩(Chuck Cohen)坦言,其负责打击针对儿童的网络犯罪工作。印第安纳州警察局表示,今年3月份以来,警方从一家名为Grayshift的公司购买了15,000美元设备,一共解锁了96部iPhone。 但隐私保护人士表示,苹果修复安全漏洞的做法是正确的,因为这个漏洞越来越容易被利用,破解iPhone也越来越便宜。约翰霍普金斯大学(Johns Hopkins University)密码学教授马修·D·格林(Matthew D. Green)表示:“这确实是苹果手机一个非常大的漏洞。”他说,警察局桌子上都摆放着这样一个灰色的Grayshift设备,“用户信息很容易就泄漏出来。” 苹果公司的发言人弗雷德·赛恩斯(Fred Sainz)在一封电子邮件中表示,该公司正在不断加强安全防护,并修复在手机中发现的任何漏洞,部分原因是犯罪分子也可能利用执法机构使用的相同漏洞。 “我们非常尊重执法部门,而且我们不会通过安全设计改进来挫败他们的努力,”他说。 目前几乎所有的智能手机都在使用苹果和谷歌的操作系统。而自2014年以来,两家公司开始对其移动设备软件进行加密处理。加密技术会打乱原有数据,使得第三方无法直接读取设备内信息,除非使用特殊密钥(通常是密码)进行访问。这让警察和检察官感到沮丧,他们即便手握搜查令也无法从智能手机上提取数据。 2015年底,加利福尼亚州圣贝纳迪诺的一名枪手与他的妻子一起杀害了14人。一名联邦法官命令苹果找出如何解锁嫌犯手机的方法。而苹果首席执行官蒂姆库克(Timothy D. Cook)用一封惊人的1,100字的信件回应说,该公司拒绝侵犯其用户的隐私。他写道:“政府要求的影响令人不寒而栗。” 双方在法庭上争吵了一个月。然后美国联邦调查局突然宣布,它已经找到一个第三方机构破解了嫌犯iPhone,为此支付了至少130万美元。今年的检察长报告提出了美国联邦调查局在和苹果对簿公堂之前应该已经穷尽了更多选择。 自那时以后,帮助执法部门破解iPhone的主要有两家公司:2006年被日本Sun公司收购的以色列技术公司Cellebrite以及2016年由前苹果工程师创建的Grayshift。执法官员称,他们通常将iPhone交由Cellebrite解锁,每破解一部手机都要花费数千美元。今年3月份,Grayshift开始销售一款售价15,000美元的GrayKey设备,警方可以用其自行解锁iPhone。 苹果公司过去一直在封堵安全漏洞。多年来,警方使用软件通过简单地尝试每一个可能的密码来破解电话。格林表示,苹果则通过在一定数量的错误密码之后禁用iPhone,从而阻止了这种技术。但是Grayshift和Cellebrite的软件似乎能够让苹果的这种方法失效,允许他们的设备测试数千个密码。 Cellebrite拒绝发表评论。 Grayshift也没有回应评论请求。 执法人员说,通过这些方法打开锁定的iPhone已变得非常普遍。他们表示,联邦调查局以及大型州和地方警察部门通常都有权使用这些工具,而较小的地方机构则征求州或联邦调查局协助处理重大案件。 据公共记录显示,购买GrayKey设备的执法机构包括美国药品执法管理局(Drug Enforcement Administration),该机构今年以30,000美元的价格购买了一款高级设备。此外根据记录,马里兰州的州警察局,俄勒冈州波特兰市和明尼苏达州罗彻斯特市都有这种设备。 美国路易斯安那州巴吞鲁日地区地方检察官希拉·摩尔(Hillar Moore)表示,自从2017年以来,他的办公室已经向Cellebrite支付了数千美元用于解锁iPhone,其中包括对路易斯安那州立大学兄弟会相关死亡案件的调查。他说这些手机为破案提供了关键信息,他对苹果计划关闭这样一个有用的调查渠道感到不安。 “他们公然保护犯罪活动,而且只是打着为了他们的客户提供隐私保护的幌子,”他说。 曼哈顿地区助理检察官迈克尔·萨克斯(Michael Sachs)表示,他的办公室每周都会有好几次使用变通办法来解锁iPhone,但他拒绝透露到底是什么变通方法。这帮助破解了最近几个月发生的一系列案件,其中包括通过破解iPhone手机找到了嫌疑人性侵儿童的视频。这名男子今年被判有罪。 曼哈顿地区检察官办公室表示,在2017年的前10个月,他们已经找到并获取搜查702部加密智能手机的授权或许可,其中三分之二是iPhone手机。相比之下,运行谷歌Android操作系统的智能手机通常更容易访问,部分原因是许多老式设备都缺乏加密手段。 智能手机上的加密仅适用于单独存储在手机上的数据。像苹果和谷歌这样的公司会定期向执法人员访问消费者在公司服务器上备份的数据,例如通过Apple的iCloud服务获取用户数据。苹果表示,自2013年以来,它已经响应了超过55,000个来自美国政府的请求,要求获得关于超过208,000个设备,云帐户或财务账户的信息。 关于加密iPhone以及破解iPhone协助破案的斗争不太可能平息。美政府官员一再推动立法,要求像苹果这样的科技公司为工作人员提供进入手机的后门,不过最近发现执法部门夸大了无法访问的设备数量。 鉴于苹果已经将iPhone的隐私和安全性作为一个核心卖点,如果不是国会强迫苹果,苹果可能不会让破解更容易。 支持网络隐私保护的民主与技术中心分析师迈克尔理查森(Michelle Richardson)表示,苹果的最新举措是科技公司与执法部门之间一场旷日持久的猫捉老鼠游戏的一部分。 她说:“人们对这种情况已经习以为常:政府将能够攻击这些设备,然后苹果将修复漏洞,黑客将找到另一种方式。”   稿源:网易科技,封面源自网络;

Facebook 设立隐私设计实验室 TTC,将改善数据分享方式

新浪科技讯 北京时间6月13日上午消息,Facebook对美国参议院说,公司已经设立了一个设计实验室,将致力于改善人们分享个人数据的方式。 这个实验室被取名为TTC实验室。今年4月,Facebook首席执行官马克•扎克伯格在国会听证会上作证时,有2000个问题亟待向参议院回应。在后续的答复报告中,Facebook表示,打造该实验室的初心,是因为Facebook“认识到需要改进所有数码服务的数据透明度方法”,并需要与学术界、设计界和业界的其他人士合作。 Facebook在该答复报告的第146页上写道,该实验室“旨在为人们探索新的、更加以人为中心的最佳实践模式,让他们了解自己的数据是如何被数字服务所使用的,并最终推出一种他们认为更容易理解和控制的方式”。 TTC代表信任(Trust)、透明(Transparency)和控制(Control),该实验室的网站显示,TTC总部位于爱尔兰都柏林。该网站说,它是由Facebook发起和支持的,目前有60多个其他组织参与其中,但它没有列出其他各方的名字。 Facebook没有立即就要求提供更多信息的请求做出答复。公司最近又受到了一波批评:外界批评其要求用户同意欧洲的《通用数据保护条例》(GDPR)的步骤被设计得过于草率,这使得Facebook能轻易地让用户继续同意数据收集,并继续使用社交网络应用程序。该份对美国立法者(议员)的答复报告是由美国参议院商业委员会于当地时间周一发布的。   稿源:新浪科技,封面源自网络;

谷歌新规:禁止从第三方来源安装Chrome扩展程序

新浪科技讯 北京时间6月13日中午消息,之前谷歌决定禁止Windows用户从Chrome网上应用店(Web Store)之外的第三方网站直接安装Chrome扩展程序。而根据谷歌的最新规定,从今年夏天开始,所有平台上的用户都不能从官方应用店之外安装Chrome扩展程序。 谷歌指出,在Chrome网上应用店内有说明资料和功能列表,它们能帮助用户做决定,让他们知道是否真的需要安装某个扩展程序。谷歌发现,如果用户是从官方扩展程序入口进入的,安装附加程序之后卸载的机率更低。 对于2018年6月12日(北京时间13日)发布的扩展程序,谷歌禁止使用“内联式安装”(inline installations)功能。从9月12日开始,现有扩展程序也会禁用此功能。如果用户在网络上其它地方点击链接,只会引导到Chrome Web Store,不能从开发者网站或者其它网站直接安装。 2018年12月初,在Chrome 71浏览器中谷歌会完全删除“内联式安装”功能API,到时开发者再也不能使用该选项。   稿源:新浪科技,封面源自网络;

车联网时代的麻烦:网络攻击让车谎报信息造成拥堵

是什么算法让这些交通信号灯变红的呢? 6月13日消息,据国外媒体报道,研究人员称,一种针对交通算法的新型攻击会使得网联车谎报车辆的位置和速度信息,因而对智能城市和交通状况构成威胁,比如造成严重交通堵塞。 汽车之间能够互相通信(还有汽车能够与红绿灯、停车标志、护栏甚至是人行道上的标记通信)的时代————正在快速临近。在减少交通拥堵和避免撞车的宗旨的驱动下,这些系统已经在美国各地的道路上推出。 例如,在美国交通部的支持下开发的智能交通信号系统(Intelligent Traffic Signal System),已经在亚利桑那州和加利福尼亚州的公共道路上进行了测试,并在纽约市和佛罗里达州的坦帕市进行了更广泛的部署。该系统可以让车辆与红绿灯共享实时位置和速度,这些信息能够用于根据实时交通需求有效地优化交通时间,从而大幅减少车辆在十字路口的等待时间。 来自密歇根大学的RobustNet研究团队和密歇根交通实验室的研究的重点是,确保这些下一代交通系统的安全性,使得它们免受攻击。到目前为止,他们发现它们实际上是相对容易被欺骗的。只要有一辆汽车在传输假数据,就会造成严重的交通堵塞,几起攻击并发则可能会导致整个区域交通瘫痪。尤其值得忧心的是,那些研究者发现,问题并不在于底层的通信技术,而在于用于管理流量的算法。 误导算法 一般来说,算法是要接收各种各样的输入信息——比如在十字路口附近的不同位置有多少辆车——并计算出满足特定目标的输出信息——比如最小化在交通灯处的集体延迟。与大多数算法一样,智能交通信号系统中的交通控制算法——昵称“I-SIG”——假设它得到的输入信息是真实的。这并不是一个可靠的假设。 现代汽车的硬件和软件可以通过汽车的诊断端口或无线连接进行修改,进而引导汽车传输错误的信息。想要破坏I-SIG系统的人可以用这种方法来侵入自己的汽车,把车开到目标十字路口,然后在附近停下。 研究者发现,车辆一旦停在十字路口附近,攻击者就可以利用控制红绿灯的算法的两个漏洞来延长特定车道得到绿灯的时间——同样地,也会延长其他车道得到红灯的时间。 研究者发现的第一个漏洞被称为“最后的车辆优势”,可被利用来延长绿灯信号长度。该算法会监视正在接近十字路口的车辆,估计车辆队伍的长度,并确定所有车辆通过十字路口所需的时长。这种逻辑帮助系统在每一轮的红绿灯变化中服务尽可能多的车辆,但它可能会被滥用。攻击者可以指示车辆向系统发出它要很迟才加入车辆队伍的错误报告。然后,算法会让受攻击的绿灯保持足够长的时间,以便让这辆不存在的汽车通过——相应地,其他车道上的红灯比路上实际行驶的汽车需要的时间要长得多。 研究者将第二个漏洞称之为“过渡时期的诅咒”或“幽灵车攻击”。“I-SIG算法的构建是为了应对不是所有的车辆都能相互通信的事实。”它使用较新的网联车的驱动模式和信息来推断不支持通信的旧车的实时位置和速度。因此,如果一辆联网的汽车报告说它在距离十字路口很远的地方停下来,算法就会假设该车辆前面的车辆队伍很长。然后系统会为那条车道分配长时间的绿灯,因为它认为车辆队伍很长,但实际上并不长。 这些攻击是通过让一辆车谎报自己的位置和速度而发生的。这与已知的网络攻击方法非常不同,比如向未加密的通信中注入消息,或者让未经授权的用户登录特权账号。因此,已知的针对这些攻击的保护措施对谎报信息的车辆毫无用处。 算法被误导的后果 这两种攻击方式任意一种的使用,或者相互配合使用,让攻击者能够给没有或者很少车辆的车道分配时间过长的绿灯,给最繁忙的车道分配时间过长的红灯。这最终会导致大规模的交通堵塞。 这种针对红绿灯的攻击可能只是为了好玩,也可能是为了攻击者自身的利益。例如,想象一下,有人为了获得更快的通勤速度而调整自己所在车道的交通灯时间,其他的司机则受到延误。犯罪分子也可能会试图通过攻击红绿灯,来快速逃离犯罪现场或者摆脱追捕的警车。 该类攻击甚至还有政治或经济上的危险:密谋的组织可能会破坏城市的几个关键十字路口的红绿灯系统,以此来要求支付赎金。这比其他堵塞十字路口的方法(如在车流中停车)有破坏性得多,也更容易逃脱。 由于这种类型的攻击利用了智能交通控制算法本身,修复它需要来自交通领域和网络安全领域的共同努力。这包括要考虑到这类研究的一大教训:支撑交互系统的传感器——比如I-SIG系统中的车辆——并不是完全值得信赖。在进行计算之前,算法应该尝试验证它们使用的数据。例如,交通控制系统可以使用其他的传感器——比如已经在全国范围内使用的道路传感器——来复核道路上到底有多少辆车。 这只是研究者对未来智能交通系统中新型安全问题的研究的一个开始,他们希望这一研究日后既能发现漏洞,又能找到保护道路和司机的方法。   稿源:网易科技,封面源自网络;