廉价物联网设备:未来的另一个安全隐忧

作者:Jean-Louis Gassée  法国巴黎人,曾于1980年代担任Apple欧洲营运负责人、以及Mac计算机开发主管;之后创立Be公司,旗下产品BeOS曾传出将为Apple所并购,并成为后来的Mac OS X,但后来并未实现。之后亦曾任职于PalmSource,目前为Allegis Capital投资公司合伙人。

智能手机的崛起有个副作用,就是造就了一个丰富(但廉价)的功能模块生态系。这些模块在信息安全方面都不是很理想,而如果轻率的将这些模块拼成一些廉价装置,将可能会对市场带来负面的影响。

事实上,这个问题已经在发生之中。

从前自己组,现在别人帮你组。你放心吗?

从前,如果你想自己组装一部计算机,通常必须从走一趟东京秋叶原之类的地方开始。因为这类市场里有任何想象得到的零组件,从电阻到主板,真空管到黑胶唱片用的唱针应有尽有;如果需要的话还可以顺道买个按摩器之类的东西。

你只要带支螺丝起子,就可以把机壳、电源供应器、主板、超频处理器、水冷装置、风扇、霓虹灯之类有用没用的东西组起来。对于PC来说,这类市场就像是个器官银行一样。

现在,或许从头自己组PC的人没有以前多了,但有许多人又在疯另外一种东西:IoT(物联网)。如果你也觉得这些东西有前途,也可以开一家公司来卖自己组出来的监视摄影机、婴儿监控装置、或是智能型烤面包机等等。

如果你想要找个地方,既可以看看别人做了些什么,又可以找到零组件、设计师、代工厂和相关的报价,最好的去处莫过于中国深圳的华强北一带;那里不只是著名的鸿海富士康大本营,也是全球最大的传感器、摄影镜头、GPS卫星定位、以及(最重要的)无线传输等模块集散中心。

在研发上省下来的钱,终究还是得用在打品牌上。

你的第一步可以从买一套联发科(Mediatek)或类似厂商的单芯片系统开始;这里面可能包括一颗ARM处理器、精简版的Linux软件引擎、以及有线或无线连网模块。只要再加上镜头、传感器、还有驱动程序,然后找一家代工组装厂,贵公司的专属自有品牌安全监视摄影机就可以上市了。

但是,这样做出来的产品通常都跟别人家的差不多;你在研发上省下来的钱,终究还是得用在打品牌上,还得说服财迷心窍的通路卖你的产品、靠写开箱文赚钱的部落客愿意帮你开箱……。

谁说消费性电子产品生意好做的?

如果你的产品失败了,只有投资人和同事会伤心而已;但如果你成功了,恭喜,但后面的麻烦才正要开始而已。

你能,别人也能。你放心吗?

卖你模块的供货商,可能也同时卖了几百万个一样的东西给你的竞争对手、或是其他一样做着物联网IoT产品梦的创业者,像是做智能录像机的、智能锁的、智能天气站的、智能家居照明系统的等等。

而这些产品的销售对象,通常是对科技不熟的家庭用户;他们不知道软件或固件是可以升级的,忘了账号密码更是家常便饭。

各家厂商都很聪明,多半会帮产品留一道“后门”。

幸好各家厂商都很聪明,多半会帮产品留一道“后门”,让客服人员可以用这组通用的账号密码来远程解锁,毫不费力的帮顾客解决燃眉之急。

这一点你(现在)知道、厂商知道、当然技艺高超的黑客们也会知道。只要利用最常见的Linux解译工具,他们就可以轻松检视这些设备中的嵌入式系统,然后找到这组便利的后门账号密码,把这些偷懒厂商做的设备统统解开。

大军压境

这时候,已经登堂入室的黑客们就可以搞更多花样了:例如上传一些软件,把无辜的智能型影机等设备们征召入伍,变成阻断服务攻击(Denial-of-Service,DoS)大军的成员,再用来攻击特定网站,让网站因为被联机塞爆而无法运作。

这些黑客的攻击目标,通常不会是设备的用户本身,而是(例如)立场跟他们不合的网站;甚至有越来越多的人透过这种方式来“绑架”特定网站,并且勒索赎金。

尤有甚者,还有一些大规模攻击是针对DNS之类的网络基本架构服务进行;DNS(Domain Name Service/Server,域名服务/服务器)的主要功能,在于将“example.com”之类的域名转换成像是“93.184.216.34”的IP地址。

就在前几天,服务商Dyn就遭到了大规模的阻断攻击,导致美国东岸的Twitter、Netflix、甚至纽约时报等媒体网站断线;没有人知道主使者是谁、或是为了什么目的,但是这种事情的发生很令人担忧:如果下一次攻击是冲着电力或运输网络而来怎么办?如果整个通讯系统都断了怎么办?

我们也不知道怎么办。但我们知道,如果网络是如此的脆弱,再加上这些廉价的物联网IoT产品、以及它们被蒙在鼓里的主人,往后可能会发生的威胁是我们所想不到的。 

而这样的威胁,也可以说是智能手机风潮的副产品:上亿支的手机产品,创造了一个由零组件、制造商、以及经销商所组成,而且竞争激烈无比的生态系。为了竞争,有许多人会偷懒、抄近路,导致难以数计的“危险”设备暴露在网络上。

有谁会想到,有一天连保安摄影机都会被入侵,反而变成最不安全的东西?

如果这一点听起来有点太夸张,这里可以提供一个故事给您参考:有许多联机装置(包括常见的飞利浦Hue智能灯泡)都使用了一个叫做ZigBee的通讯协议,而这个协定最近才被发现有安全漏洞。

最近的一篇纽约时报文章,就描述了研究人员如何找出破解ZigBee网络的方式,并且“攻占”了整个照明系统、以及使用同一协议来联机的装置。

我们也相信,消费等级的物联网IoT产品必定会流行起来,但这个流行风潮也可能带来一些问题,也少不了觊觎这些设备漏洞的有心人士。所以,制造这些设备的厂商都必须正视这个问题、并且负起应有的责任;而消费者也必须先做点功课,了解哪些厂商在安全和隐私方面真的下过功夫,再用实际的购买行为来鼓励它们的贴心。

本文转自d1net(转载)

你可能感兴趣的:(廉价物联网设备:未来的另一个安全隐忧)