廉价物联网设备：未来的另一个安全隐忧

　　作者：Jean-Louis Gassée　　法国巴黎人，曾于1980年代担任Apple欧洲营运负责人、以及Mac计算机开发主管;之后创立Be公司，旗下产品BeOS曾传出将为Apple所并购，并成为后来的Mac OS X，但后来并未实现。之后亦曾任职于PalmSource，目前为Allegis Capital投资公司合伙人。

　　智能手机的崛起有个副作用，就是造就了一个丰富(但廉价)的功能模块生态系。这些模块在信息安全方面都不是很理想，而如果轻率的将这些模块拼成一些廉价装置，将可能会对市场带来负面的影响。

　　事实上，这个问题已经在发生之中。

　　从前自己组，现在别人帮你组。你放心吗?

　　从前，如果你想自己组装一部计算机，通常必须从走一趟东京秋叶原之类的地方开始。因为这类市场里有任何想象得到的零组件，从电阻到主板，真空管到黑胶唱片用的唱针应有尽有;如果需要的话还可以顺道买个按摩器之类的东西。

　　你只要带支螺丝起子，就可以把机壳、电源供应器、主板、超频处理器、水冷装置、风扇、霓虹灯之类有用没用的东西组起来。对于PC来说，这类市场就像是个器官银行一样。

　　现在，或许从头自己组PC的人没有以前多了，但有许多人又在疯另外一种东西：IoT(物联网)。如果你也觉得这些东西有前途，也可以开一家公司来卖自己组出来的监视摄影机、婴儿监控装置、或是智能型烤面包机等等。

　　如果你想要找个地方，既可以看看别人做了些什么，又可以找到零组件、设计师、代工厂和相关的报价，最好的去处莫过于中国深圳的华强北一带;那里不只是著名的鸿海富士康大本营，也是全球最大的传感器、摄影镜头、GPS卫星定位、以及(最重要的)无线传输等模块集散中心。

　　在研发上省下来的钱，终究还是得用在打品牌上。

　　你的第一步可以从买一套联发科(Mediatek)或类似厂商的单芯片系统开始;这里面可能包括一颗ARM处理器、精简版的Linux软件引擎、以及有线或无线连网模块。只要再加上镜头、传感器、还有驱动程序，然后找一家代工组装厂，贵公司的专属自有品牌安全监视摄影机就可以上市了。

　　但是，这样做出来的产品通常都跟别人家的差不多;你在研发上省下来的钱，终究还是得用在打品牌上，还得说服财迷心窍的通路卖你的产品、靠写开箱文赚钱的部落客愿意帮你开箱……。

　　谁说消费性电子产品生意好做的?

　　如果你的产品失败了，只有投资人和同事会伤心而已;但如果你成功了，恭喜，但后面的麻烦才正要开始而已。

　　你能，别人也能。你放心吗?

　　卖你模块的供货商，可能也同时卖了几百万个一样的东西给你的竞争对手、或是其他一样做着物联网IoT产品梦的创业者，像是做智能录像机的、智能锁的、智能天气站的、智能家居照明系统的等等。

　　而这些产品的销售对象，通常是对科技不熟的家庭用户;他们不知道软件或固件是可以升级的，忘了账号密码更是家常便饭。

　　各家厂商都很聪明，多半会帮产品留一道“后门”。

　　幸好各家厂商都很聪明，多半会帮产品留一道“后门”，让客服人员可以用这组通用的账号密码来远程解锁，毫不费力的帮顾客解决燃眉之急。

　　这一点你(现在)知道、厂商知道、当然技艺高超的黑客们也会知道。只要利用最常见的Linux解译工具，他们就可以轻松检视这些设备中的嵌入式系统，然后找到这组便利的后门账号密码，把这些偷懒厂商做的设备统统解开。

　　大军压境

　　这时候，已经登堂入室的黑客们就可以搞更多花样了：例如上传一些软件，把无辜的智能型影机等设备们征召入伍，变成阻断服务攻击(Denial-of-Service，DoS)大军的成员，再用来攻击特定网站，让网站因为被联机塞爆而无法运作。

　　这些黑客的攻击目标，通常不会是设备的用户本身，而是(例如)立场跟他们不合的网站;甚至有越来越多的人透过这种方式来“绑架”特定网站，并且勒索赎金。

　　尤有甚者，还有一些大规模攻击是针对DNS之类的网络基本架构服务进行;DNS(Domain Name Service/Server，域名服务/服务器)的主要功能，在于将“example.com”之类的域名转换成像是“93.184.216.34”的IP地址。

　　就在前几天，服务商Dyn就遭到了大规模的阻断攻击，导致美国东岸的Twitter、Netflix、甚至纽约时报等媒体网站断线;没有人知道主使者是谁、或是为了什么目的，但是这种事情的发生很令人担忧：如果下一次攻击是冲着电力或运输网络而来怎么办?如果整个通讯系统都断了怎么办?

　　我们也不知道怎么办。但我们知道，如果网络是如此的脆弱，再加上这些廉价的物联网IoT产品、以及它们被蒙在鼓里的主人，往后可能会发生的威胁是我们所想不到的。　

　　来自生态系的入侵

　　而这样的威胁，也可以说是智能手机风潮的副产品：上亿支的手机产品，创造了一个由零组件、制造商、以及经销商所组成，而且竞争激烈无比的生态系。为了竞争，有许多人会偷懒、抄近路，导致难以数计的“危险”设备暴露在网络上。

　　有谁会想到，有一天连保安摄影机都会被入侵，反而变成最不安全的东西?

　　如果这一点听起来有点太夸张，这里可以提供一个故事给您参考：有许多联机装置(包括常见的飞利浦Hue智能灯泡)都使用了一个叫做ZigBee的通讯协议，而这个协定最近才被发现有安全漏洞。

　　最近的一篇纽约时报文章，就描述了研究人员如何找出破解ZigBee网络的方式，并且“攻占”了整个照明系统、以及使用同一协议来联机的装置。

　　我们也相信，消费等级的物联网IoT产品必定会流行起来，但这个流行风潮也可能带来一些问题，也少不了觊觎这些设备漏洞的有心人士。所以，制造这些设备的厂商都必须正视这个问题、并且负起应有的责任;而消费者也必须先做点功课，了解哪些厂商在安全和隐私方面真的下过功夫，再用实际的购买行为来鼓励它们的贴心。