京东安全首席信息安全专家TonyLee：纯粹做事，追求极致(2)

雷锋网：京东研究物联网安全的初衷是？
Tony：京东有海量用户数据、有系统架构，有智能终端，保护用户隐私是我们义不容辞的责任，立足安全，IoT安全也是京东安全正在进行的事情。
最近几年，很多物联网设备泄露用户隐私事件被曝光，比如家庭摄像头被恶意攻击导致互联网大面积瘫痪。这些事件得出的教训是，物联网产品一开始就应该把安全考虑进去。
设想一下，如果IoT厂商在制造音箱、摄像头等智能硬件之初就将安全问题前置，从产品设计阶段就充分考虑了安全构造，那么，产品上市之后出现出现安全问题可能性就会大大降低。但现实问题是，大多产品都是优先考虑用户体验和盈利，安全问题只好让步。在现实面前，安全有些苍白无力。
另外，IoT 安全不能仅靠IoT 厂商重视，需要整个生态系统的安全。比如，苹果的安全就是建立在生态系统的安全性之上。而AppStore中有各种各样的APP，这些APP的出品人未必都是安全专家！
就IoT生态来说，IoT成就了万物互联，其中最关键的要素是云和终端，要保证云端和终端数据的安全、数据传输的安全和数据处理的安全。这就是IoT基础设施的安全生态。而参与者在设计之初就必须考虑完整的安全机制，包括云端的安全机制、系统的安全等等，而不是仅依靠终端厂商的重视。
雷锋网：京东还开拓了车联网安全研究方向？
Tony：今年年初币圈发生了一起震惊四座的事件。一个黑客团伙攻击了币安Binance 交易所，制造了历史上第一个不靠窃取物品，而是打击其信用，从交易市场上面做空盈利的黑客攻击事件。有分析称整个事情背后可能不只有技术性黑客，更可能有金融人士的助推。
所以未来的黑暗势力怎样工作？他们也会有不同领域专家，也可以跨领域运作。起码以后会有越来越多跨界隐蔽作案手法。我们目前正在研究的车联网项目也属于这种类型，并非直接窃取用户的车联网数据，而是通过黑客破解和经济运作手段获利。
比如，大家都知道美国的汽车保险走在世界前沿。保险公司通过一个车联网设备，采集驾驶员的行为数据，比如是否超速，转弯有没有打灯，有没有疲劳驾驶等。如果驾驶习惯差，保险公司就会提升保险费，相反则可以降低保费。京东硅谷研发中心的研究员发现了其中的漏洞，可以恶意篡改这些数据，就像我们在GeekPwn大赛上演示的那样，把一个成熟的老司机改成马路杀手。如果有人想骗保圈钱，就可以用这个套路虚拟各种场景，骗取保费。