安全

廉价物联网设备:未来的另一个安全隐忧

字号+ 作者:Jean-Louis Gassée 来源:rocket 2016-11-16 08:10

我们也不知道怎么办。但我们知道,如果网络是如此的脆弱,再加上这些廉价的物联网IoT产品、以及它们被蒙在鼓里的主人,往后可能会发生的威胁是我们所想不到的。


图片来源:https://commons.wikimedia.org/wiki/File:Blocks_wide_shot_showing_the_whole_range_of_modules_(SAM_Labs).jpg
 
作者:Jean-Louis Gassée
 
法国巴黎人,曾于1980年代担任Apple欧洲营运负责人、以及Mac计算机开发主管;之后创立Be公司,旗下产品BeOS曾传出将为Apple所并购,并成为后来的Mac OS X,但后来并未实现。之后亦曾任职于PalmSource,目前为Allegis Capital投资公司合伙人。
 
智能手机的崛起有个副作用,就是造就了一个丰富(但廉价)的功能模块生态系。这些模块在信息安全方面都不是很理想,而如果轻率的将这些模块拼成一些廉价装置,将可能会对市场带来负面的影响。
 
事实上,这个问题已经在发生之中。
 
从前自己组,现在别人帮你组。你放心吗?
 
从前,如果你想自己组装一部计算机,通常必须从走一趟东京秋叶原之类的地方开始。因为这类市场里有任何想象得到的零组件,从电阻到主板,真空管到黑胶唱片用的唱针应有尽有;如果需要的话还可以顺道买个按摩器之类的东西。
 
你只要带支螺丝起子,就可以把机壳、电源供应器、主板、超频处理器、水冷装置、风扇、霓虹灯之类有用没用的东西组起来。对于PC来说,这类市场就像是个器官银行一样。
 
现在,或许从头自己组PC的人没有以前多了,但有许多人又在疯另外一种东西:IoT(物联网)。如果你也觉得这些东西有前途,也可以开一家公司来卖自己组出来的监视摄影机、婴儿监控装置、或是智能型烤面包机等等。
 
如果你想要找个地方,既可以看看别人做了些什么,又可以找到零组件、设计师、代工厂和相关的报价,最好的去处莫过于中国深圳的华强北一带;那里不只是著名的鸿海富士康大本营,也是全球最大的传感器、摄影镜头、GPS卫星定位、以及(最重要的)无线传输等模块集散中心。
 

在研发上省下来的钱,终究还是得用在打品牌上。

 
你的第一步可以从买一套联发科(Mediatek)或类似厂商的单芯片系统开始;这里面可能包括一颗ARM处理器、精简版的Linux软件引擎、以及有线或无线连网模块。只要再加上镜头、传感器、还有驱动程序,然后找一家代工组装厂,贵公司的专属自有品牌安全监视摄影机就可以上市了。
 
但是,这样做出来的产品通常都跟别人家的差不多;你在研发上省下来的钱,终究还是得用在打品牌上,还得说服财迷心窍的通路卖你的产品、靠写开箱文赚钱的部落客愿意帮你开箱……。
 
谁说消费性电子产品生意好做的?
 
如果你的产品失败了,只有投资人和同事会伤心而已;但如果你成功了,恭喜,但后面的麻烦才正要开始而已。
 
你能,别人也能。你放心吗?
 
卖你模块的供货商,可能也同时卖了几百万个一样的东西给你的竞争对手、或是其他一样做着物联网IoT产品梦的创业者,像是做智能录像机的、智能锁的、智能天气站的、智能家居照明系统的等等。
 
而这些产品的销售对象,通常是对科技不熟的家庭用户;他们不知道软件或固件是可以升级的,忘了账号密码更是家常便饭。
 

各家厂商都很聪明,多半会帮产品留一道“后门”。

 
幸好各家厂商都很聪明,多半会帮产品留一道“后门”,让客服人员可以用这组通用的账号密码来远程解锁,毫不费力的帮顾客解决燃眉之急。
 
这一点你(现在)知道、厂商知道、当然技艺高超的黑客们也会知道。只要利用最常见的Linux解译工具,他们就可以轻松检视这些设备中的嵌入式系统,然后找到这组便利的后门账号密码,把这些偷懒厂商做的设备统统解开。
 
大军压境
 
这时候,已经登堂入室的黑客们就可以搞更多花样了:例如上传一些软件,把无辜的智能型影机等设备们征召入伍,变成阻断服务攻击(Denial-of-Service,DoS)大军的成员,再用来攻击特定网站,让网站因为被联机塞爆而无法运作。
 
这些黑客的攻击目标,通常不会是设备的用户本身,而是(例如)立场跟他们不合的网站;甚至有越来越多的人透过这种方式来“绑架”特定网站,并且勒索赎金。
 
尤有甚者,还有一些大规模攻击是针对DNS之类的网络基本架构服务进行;DNS(Domain Name Service/Server,域名服务/服务器)的主要功能,在于将“example.com”之类的域名转换成像是“93.184.216.34”的IP地址。
 
就在前几天,服务商Dyn就遭到了大规模的阻断攻击,导致美国东岸的Twitter、Netflix、甚至纽约时报等媒体网站断线;没有人知道主使者是谁、或是为了什么目的,但是这种事情的发生很令人担忧:如果下一次攻击是冲着电力或运输网络而来怎么办?如果整个通讯系统都断了怎么办?
 
我们也不知道怎么办。但我们知道,如果网络是如此的脆弱,再加上这些廉价的物联网IoT产品、以及它们被蒙在鼓里的主人,往后可能会发生的威胁是我们所想不到的。



 

来自生态系的入侵
 
而这样的威胁,也可以说是智能手机风潮的副产品:上亿支的手机产品,创造了一个由零组件、制造商、以及经销商所组成,而且竞争激烈无比的生态系。为了竞争,有许多人会偷懒、抄近路,导致难以数计的“危险”设备暴露在网络上。
 
有谁会想到,有一天连保安摄影机都会被入侵,反而变成最不安全的东西?
 
如果这一点听起来有点太夸张,这里可以提供一个故事给您参考:有许多联机装置(包括常见的飞利浦Hue智能灯泡)都使用了一个叫做ZigBee的通讯协议,而这个协定最近才被发现有安全漏洞。
 
最近的一篇纽约时报文章,就描述了研究人员如何找出破解ZigBee网络的方式,并且“攻占”了整个照明系统、以及使用同一协议来联机的装置。
 
我们也相信,消费等级的物联网IoT产品必定会流行起来,但这个流行风潮也可能带来一些问题,也少不了觊觎这些设备漏洞的有心人士。所以,制造这些设备的厂商都必须正视这个问题、并且负起应有的责任;而消费者也必须先做点功课,了解哪些厂商在安全和隐私方面真的下过功夫,再用实际的购买行为来鼓励它们的贴心。







相关文章
  • 工业物联网安全性设计师指南

    工业物联网安全性设计师指南

    2018-10-08 19:01

  • 不论物联网还是边缘计算,安全皆为首要

    不论物联网还是边缘计算,安全皆为首要

    2018-10-05 21:52

  • 为什么咖啡机需要自己的账户?

    为什么咖啡机需要自己的账户?

    2018-10-03 23:12

  • DDOS攻击:物联网的警钟

    DDOS攻击:物联网的警钟

    2018-09-30 01:11