浅谈办公及教育场景硬件供应链安全-2021黑客大会.pdf

你的智能硬件出卖了你的信息 —浅谈办公及教育场景硬件供应链安全 议程 • IoT产品供应链的安全现状 • 常见的保护机制及实现缺陷 • 如何避免缺陷，保护供应链安全 0 1 IoT产品供应链安全现状 金立2千多部手机被植入木马 软件供应链攻击易受关注，而 硬件供应链在流通环节的攻击， 非常容易被忽视。 0 4 IoT产品供应链安全现状 国内外的相关规范 0 5 IoT产品供应链安全现状 业界的做法 主流的桌面处理器、服务器、 笔电、操作系统厂商，很早就 实现了安全启动，可信计算等 机制。 0 7 IoT产品供应链安全现状 移动处理器厂商 高通、MTK等IoT 常用方案厂商都提 供了完整的 SecureBoot、TEE 的实现支持，提供 了可靠的保护机制。 0 8 IoT产品供应链安全现状 实际落实到IoT产品端的情况 在我们的研究中，累计发现5个头部厂商的9款IoT产品（芯片方案有完整 的安全启动支持），存在设计缺陷，导致产品可以在供应链流通环节被 植入恶意代码。 0 9 IoT产品供应链安全现状 只是缺陷，不是漏洞 攻击需要物理接触， 厂商不重视，不认可 10 IoT产品供应链安全现状 虽是缺陷，后果严重 复杂的供应链网络，导 致产品在到达客户之前 的流通环节，存在大量 被供应链植入的时间窗 口。 11 IoT产品供应链安全现状 虽是缺陷，后果严重 智能盒子 智能电视 会议终端 窃取商业机密 12 IoT产品供应链安全现状 虽是缺陷，后果严重 没有安全保护的教 育硬件，可能被破 解改变产品原有设 计用途，变身为游 戏机、浏览不良信 息的媒介等。 13 IoT产品供应链安全现状 虽是缺陷，后果严重 智能音箱 智能教育屏 智能学习灯 监控家庭敏感地带 14 IoT产品供应链安全现状 某教育产品供应链植 入风险演示 15 常见的保护机制及实现缺陷