谁挖的坑谁来填!让人工智能去对付那些奇奇怪怪的威胁吧

 

明年,我们的手机和台式机将引爆古怪的新威胁和奇怪的网络安全创新之间的“军备竞赛”。...



本文共2328字

建议阅读时间4分钟

安全世界变得异常怪异,而解决方案可能比威胁更怪异。

上个月周我就说过,一些技术大公司被发现故意把潜在的漏洞放到移动操作系统中,而且丝毫没有让用户知情的意思。

其中一个被谷歌放到了安卓系统中。在这种情况下,安卓系统被发现在传送位置数据,而且不需要电话的GPS 系统,甚至也不需要安装 SIM

卡。谷歌声称从未存储或者使用过这些数据,后来它终止了这种做法。

对于移动应用,跟踪确实是个问题,这个问题在自带设备(BYOD)策略中被低估了。

耶鲁大学法学院的隐私实验室和法国的非营利组织 Exodus Privacy 研究表明,他们调查的300 多个Android 应用程序中

75%以上都含有某种跟踪器,主要用于广告、行为分析或者位置跟踪。

大部分位置跟踪器依赖于访问 GPS 信息,而这需要用户选择是否打开 GPS。但现在,普林斯顿大学的研究人员开发了一款名为 PinMe的应用软件,不使用

GPS 信息便能够收集智能手机的位置信息,这就说明有可能出现隐私泄露。

总的来说,我们曾认为关闭手机位置功能就能够保护我们不会被定位监视——这种想法已经过时了。实际上,我们在安全上的很多假设都受到了实际新情况的挑战。以双重身份验证为例。

Javelin Strategy &Research

上个月发布的一份报告称,目前多重身份验证的应用正在“遭到破坏”。企业还没有充分利用双重和多重身份验证功能,只有三分之一多点的企业使用了“两重或者多重身份验证功能来保护对其数据和系统的访问。”

因此,我们不能再像以前那样信任双重身份验证——即使我们信任它,其应用也没有完全普及开来。那我们当然可以信任苹果设备,对吧?苹果因其强大的安全特性而名声赫赫。或者,我应该说,“曾经有过”这样的声誉。

本周,苹果针对一个重大的安全漏洞进行道歉并发布了补丁,由于这一漏洞的存在,任何人只要接触到运行 macOS High Sierra

的苹果计算机,不需要密码就能够获得完全访问权限(简单地使用“root”做为用户名即可)。

苹果修复了这个漏洞。但事实上,这个漏洞是新出现的,而且很怪异,挑战了我们对苹果安全信誉的看法。

苹果新的 Face ID 身份验证功能已经被研究人员破解,一些安全专家拒绝使用它。破解 Face ID

有各种各样的方法,从简单地找一个面貌相似的人,到制作一个逼真的面具来欺骗它,等等。很显然,网络犯罪分子也会制作并带上面具。

在风险面前,一些身份验证系统看起来根本无法保护我们免受风险的威胁。

据报道,脸书正在测试一项身份验证方案,要求用户在登录时自拍。而很多智能手机照片都含有时间和位置信息。

在过去的一两个月里,我们曾经的安全假设被颠覆了。过去我们认为安全的,再也不安全了。而且这变得更糟,不是更好。

软件安全公司 McAfee本月指出,2018

年将是新一轮更猛烈的攻击,因为“攻击者会更多的利用机器学习进行攻击,试着把机器学习和人工智能(AI)组合起来,竭尽全力去发现并破坏防御方的机器学习模型。”

我们当前的安全系统已经被攻破,“攻击者”变得非常老练。

我们需要的是更好,甚至更极端的安全措施,而且普通用户在实际生活中也可以使用。但我们有理由乐观。
当威胁变得怪异时,解决方案会变得更怪异

两位谷歌的研究人员已经开发出一种机器学习技术,可以实时检测出是否有人在偷窥您智能手机的屏幕。

该系统结合面部识别(谁在摄像头前)和凝视检测(他们正在看什么),以防止“背后偷窥者”偷窥您的屏幕。

这一检测工作在一秒钟内就完成了,在实际应用中,如果出现背后偷窥事件,会导致屏幕变暗。面部识别技术的能力类似于 HBO 电视剧“硅谷”的 Not

Hotdog

应用程序:它并不是要识别每个人,而只是要识别出每个人是授权用户还是非授权用户。

如果是非授权用户,则拒绝访问。这在概念上明显优于目前智能手机上使用的面部识别技术——经过授权的人脸能够解锁设备,而设备一旦解锁,任何人都可以看到屏幕上的内容。

这种技术背后的关键概念是持续的实时认证,而不是一次验证后任何人都能看到或者使用设备。

据最近通过的一项谷歌专利,谷歌也在考虑一种“用户检测笔记本电脑盖”。

该专利描述了一种为授权用户自动打开的笔记本电脑盖,当用户移动头部时,它会随着摆动而直接面对用户的脸部。

它通过使用两个摄像头来工作,一个在盖子外面,一个在里面。这些都用于检测和识别人脸。当授权用户接近Pixelbook(据推测)时,盖子会实际解锁并打开。在授权用户离开房间后的一段时间内,笔记本盖子会自动关闭并进行物理锁定。

该专利还提出了使用其他身份验证方式的可能性,即NFC、蓝牙配对、语音ID、虹膜扫描或者手势识别,以及各种方式的组合。

从安全的角度来看,这种想法是引入物理锁定来进行身份验证,授权用户可以方便的自动解锁。

一些其他形式的身份验证也在不断完善中。例如,语音 ID

在概念上非常好,因为它很简单——毕竟,我们都要与我们的手机通话,因此自然的可以通过语音进行身份验证。不幸的是,这很容易被欺骗。

佛罗里达大学的研究人员已经开发出了一种验证语音 ID

的技术。其设计初衷是通过技术手段,根据用户声音模式来验证用户。而这可以被高质量的录音所欺骗,因此,研究人员开发了VoiceGesture,

它使用智能手机发出超声波,用户的脸会把这些声波反射回去。它能够确认,被授权的声音实际上是由实体人实时说出的,而不是录音。

当然,所有这些技术都使用了人工智能。人工智能是网络安全更好的向前发展的关键所在。

IT

界有一个众所周知的格言,一旦你开发出了傻瓜式的东西,那就造就了一个傻瓜。也就是说:用户通常是任何安全链中最薄弱的环节。这就是为什么人工智能能够帮助用户做出更好决策的原因。例如,一家名为KnowBe4

的公司正在开发一款人工智能虚拟助理,为用户提供安全决策建议(例如,“你最好不要下载那个附件,Dave”)。

您应该知道的是,昨天的网络攻击明年将变成奇怪的、意想不到的新威胁,其中很多会采用人工智能。最好(或者唯一)的防御将是基于人工智能的怪异的新解决方案。

一场人工智能军备竞赛即将来临。这将是我们从未见过的。

作者 Michael Nadeau

编译 杨勇

原文网址:http : / / www .computerworld . com

/article/3239684/mobile-wireless/when-the-threats-get-weird-the-security-solutions-get-weirder.html

  计 算 机 世 界
CHINA COMPUTERWORLD
关 于 IT 产 业 和 产 业 IT 的 一 切 






往期回顾:

如果没有互联网,你可能都吃不上饭!是他们让“粮”快了


那些无孔不入的黑客大神到底是如何破解了你的密码?


震惊!2018年你要面对五大安全威胁,不得不防!

这家总理赞誉过的企业,解决了难倒BAT的生鲜供应链难题!

厉害啦!想让列车不晚点,竟然还有这种操作!


    关注 计算机世界


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册