系列動態|5G和物聯網安全發展國際動態

【政策監管】

1. 美國發布自動駕駛事故報告新規

7月2日，美國國家公路交通安全管理局（NHTSA）發布新規，要求安裝了美國汽車工程師協會標準（SAE）2級高級駕駛輔助系統（ADAS）或SAE 3-5級自動駕駛系統（ADS）的汽車制造商和運營商報告事故。利用該規定，NHTSA一方面可以搜集各類信息，如事故信息、潛在安全缺陷信息等，以保障道路安全。另一方面，識別和分析公共道路上使用先進技術產生的潛在安全風險和影響，如車輛碰撞中是否存在常見模式或系統操作問題，以提升信息透明度。

2. 歐盟發布電子通信規范（EECC）5G安全補充指南

7月7日，歐盟網絡安全局對外發布歐盟電子通信規范（EECC）5G安全補充措施實施指南，對EECC安全措施指南進行補充。該指南包括5G安全技術配置文件，就如何確保移動網絡運營商安全、降低5G網絡風險提供指導。該指南由歐盟國家電信安全機構會同5G工作組專家共同制定，分別從政策層面和技術層面落實歐盟5G工具箱有關內容，提出有關建議措施。在技術方面，重點關注5G虛擬化、切片和邊緣計算安全。

【行業研究】

3. 英國消費者協會發布智能家居攻擊活動分析報告

7月2日，英國消費者協會（Which）發布一份智能家居攻擊活動分析報告。報告指出，一個智能家居在一周內累計遭受來自全球范圍的超過12萬次的黑客攻擊或未知掃描。該協會與英國代碼審計機構（NCC Group）、全球網絡聯盟 (GCA)以及物聯網惡意軟件專家于今年5月建立測試中心，部署了一個智能家居蜜罐，包括智能電視、智能恒溫器、智能水壺、智能安全系統等一系列真實且連接互聯網的消費設備。該中心通過監測發現大量攻擊嘗試，如弱口令攻擊等，每小時最高達到14次攻擊嘗試。盡管大多產品可以抵御攻擊，但也發現愛普生打印機、無線攝像頭等被黑情況。

4. 咨詢公司ABI發布物聯網身份和訪問管理研究報告

7月15日，全球科技市場咨詢公司ABI research發布研究報告，稱物聯網的身份和訪問管理（IAM）將擺脫以用戶為中心的身份限制，向更具包容性模式過渡，包括機器和系統識別、物聯設備和平臺管理操作等。IAM是一個身份認證安全框架，大多數云服務商將IAM視作一個以用戶為中心的術語，物聯網設備和管理平臺服務提供商在設備訪問控制中也引入IAM框架，簡化用戶數字身份認證，通過使用各種管理工具、權限管理軟件和自動化工作流來創建一個以用戶為中心的授權框架，提高面向用戶前端操作的安全性。

5. 網絡安全公司Zscaler發布IoT設備惡意程序研究報告

7月17日，網絡安全公司Zscaler威脅研究團隊對物聯網（IoT）設備攻擊進行了深入分析并發布研究報告。報告顯示，自2019年以來，針對IoT設備的攻擊增加了700%。研究人員在全球1.8萬臺IoT設備上發現了900個載荷，在70多個制造商的設備上發現了惡意程序，其中Mirai僵尸程序（34.1%）和Gafgyt僵尸程序（63.1%）合計占比97%以上。遭受攻擊最多的領域為醫療和零售領域，攻擊目標主要位于愛爾蘭、美國和中國。此外，僅有24%的IoT設備以加密方式傳輸數據。

【產業動態】

6. 全球移動網安全公司發布5G網絡安全解決方案

7月7日，全球移動安全公司(AdaptiveMobile Security)發布了三款互聯互通的5G安全平臺，識別和應對5G基礎設施內外部安全威脅和攻擊，匯集了協同運行的網絡安全功能，以保護5G網絡、切片、垂直API接口以及用戶安全。該產品組合包括：一是增強型邊緣安全保護代理，保護4G/5G混合網絡部署中的互聯網絡以及其他網絡基礎設施；二是增強型服務通信代理，加強5G核心網絡安全；三是垂直API保護器，用來信號驗證和通信控制，保護接口安全。

7. 亞馬遜旗下智能門鈴應用端到端加密技術

7月13日，亞馬遜旗下智能門鈴廠商Ring宣布在全球范圍內面向包括兼容設備在內的客戶推出視頻端到端加密技術服務，提升設備安全。Ring表示，用戶可以選擇視頻端到端加密，增加額外的安全層，只允許在用戶選擇的移動設備上觀看視頻。一旦通過Ring應用程序建立起端到端電子服務，只有用戶注冊的移動設備才能解鎖用戶視頻，從而防范未經授權訪問，確保包括Ring或亞馬遜在內的其他人或公司不能查看用戶視頻。

8. 美國電信公司AT&T宣布其5G網絡已覆蓋2.5億人

7月18日，美國電話電報公司(AT&T)宣布建設的5G網絡已經覆蓋美國2.5億公民，并提前6個月達成這一目標。AT&T公司表示，美國很多高校正使用5G網絡在數據科學、農業、采礦等方面開展研究，醫療機構則用來加快醫療數據處理。AT&T計劃在今年底前在40多個城市提供毫米波5G網絡服務，正在準備部署C波段頻譜，計劃到2022年底至少覆蓋7千萬人，到2023年底至少覆蓋2億人。

9 .法國Secure-IC 公司構建物聯安全新參考

7月19日，法國Secure-IC公司宣布法國超媒體創新機構（b<>com）合作建立安全新參考，保護5G網絡和遠程低功率物聯網（LPWAN）安全。雙方合作研究保護物聯網通信安全技術，并為這些系統開發有效的管理系統。研究成果可面向在現場部署時間較長并在帶寬方面具有有限連接要求的對象市場，可用于現有通信技術改進以及安全漏洞監控和分析的創新技術部署。Secure-IC公司已解決了如物理攻擊、軟件攻擊等物聯網面臨的威脅問題，建立了一套物聯網威脅模型及設備保護對策，包括對LPWAN網絡的脆弱性分析，硬件級別攻擊預防措施及實現，以及具備預測、監測和修復功能的安全認證和監控工具的開發等。下一步，將特別建設物聯網和5G網絡監控系統，以在早期階段檢測5G和未來 6G環境中的攻擊。

【安全事件】

10. ieGeek智能攝像頭因存在弱口令被亞馬遜下架

7月2日，亞馬遜平臺下架一款存在弱口令漏洞的ieGeek智能攝像頭。據研究人員對攝像頭日志分析，發現存在攻擊者查看監控錄像情況，還更改了攝像頭配置。該款攝像頭默認用戶名和密碼都是“admin”，易被攻擊者猜測到。研究人員分析發現攻擊者IP地址源自俄羅斯，但經常路由“繞道”荷蘭掩藏其蹤跡。

11. Windows Hello存在生物識別身份驗證和登錄繞過漏洞

7月13日，研究人員對外披露，Windows Hello 存在生物識別身份驗證繞過漏洞，可用以實施人臉識別欺騙攻擊。Windows Hello 是一種生物特征授權方式，通過使用用戶人臉、虹膜或指紋等生物特征來解鎖設備。Windows Hello人臉識別身份驗證支持 RGB 和紅外線（ IR ）功能的標準攝像頭，有兩個獨立的傳感器，作為一個USB設備一起工作。研究人員發現 Windows Hello在身份驗證過程中只處理了紅外線攝像頭幀。攻擊者利用定制的USB設備，可控制設備的數據，發送一個IR幀，就可以繞過 Windows Hello的面部識別機制，從而完全繞過身份驗證并可能訪問受害者的所有敏感資產。