廉价物联网设备:未来的另一个安全隐忧

作者:Jean-Louis Gassée  法国巴黎人,曾于1980年代担任Apple欧洲营运负责人、以及Mac计算机开发主管;之后创立Be公司,旗下产品BeOS曾传出将为Apple所并购,并成为后来的Mac OS X,但后来并未实现。之后亦曾任职于PalmSource,目前为Allegis Capital投资公司合伙人。

智能手机的崛起有个副作用,就是造就了一个丰富(但廉价)的功能模块生态系。这些模块在信息安全方面都不是很理想,而如果轻率的将这些模块拼成一些廉价装置,将可能会对市场带来负面的影响。

事实上,这个问题已经在发生之中。

从前自己组,现在别人帮你组。你放心吗?

从前,如果你想自己组装一部计算机,通常必须从走一趟东京秋叶原之类的地方开始。因为这类市场里有任何想象得到的零组件,从电阻到主板,真空管到黑胶唱片用的唱针应有尽有;如果需要的话还可以顺道买个按摩器之类的东西。

你只要带支螺丝起子,就可以把机壳、电源供应器、主板、超频处理器、水冷装置、风扇、霓虹灯之类有用没用的东西组起来。对于PC来说,这类市场就像是个器官银行一样。

现在,或许从头自己组PC的人没有以前多了,但有许多人又在疯另外一种东西:IoT(物联网)。如果你也觉得这些东西有前途,也可以开一家公司来卖自己组出来的监视摄影机、婴儿监控装置、或是智能型烤面包机等等。

如果你想要找个地方,既可以看看别人做了些什么,又可以找到零组件、设计师、代工厂和相关的报价,最好的去处莫过于中国深圳的华强北一带;那里不只是著名的鸿海富士康大本营,也是全球最大的传感器、摄影镜头、GPS卫星定位、以及(最重要的)无线传输等模块集散中心。

在研发上省下来的钱,终究还是得用在打品牌上。

你的第一步可以从买一套联发科(Mediatek)或类似厂商的单芯片系统开始;这里面可能包括一颗ARM处理器、精简版的Linux软件引擎、以及有线或无线连网模块。只要再加上镜头、传感器、还有驱动程序,然后找一家代工组装厂,贵公司的专属自有品牌安全监视摄影机就可以上市了。

但是,这样做出来的产品通常都跟别人家的差不多;你在研发上省下来的钱,终究还是得用在打品牌上,还得说服财迷心窍的通路卖你的产品、靠写开箱文赚钱的部落客愿意帮你开箱……。

谁说消费性电子产品生意好做的?

如果你的产品失败了,只有投资人和同事会伤心而已;但如果你成功了,恭喜,但后面的麻烦才正要开始而已。

你能,别人也能。你放心吗?

卖你模块的供货商,可能也同时卖了几百万个一样的东西给你的竞争对手、或是其他一样做着物联网IoT产品梦的创业者,像是做智能录像机的、智能锁的、智能天气站的、智能家居照明系统的等等。

而这些产品的销售对象,通常是对科技不熟的家庭用户;他们不知道软件或固件是可以升级的,忘了账号密码更是家常便饭。

各家厂商都很聪明,多半会帮产品留一道“后门”。

幸好各家厂商都很聪明,多半会帮产品留一道“后门”,让客服人员可以用这组通用的账号密码来远程解锁,毫不费力的帮顾客解决燃眉之急。

这一点你(现在)知道、厂商知道、当然技艺高超的黑客们也会知道。只要利用最常见的Linux解译工具,他们就可以轻松检视这些设备中的嵌入式系统,然后找到这组便利的后门账号密码,把这些偷懒厂商做的设备统统解开。

大军压境

这时候,已经登堂入室的黑客们就可以搞更多花样了:例如上传一些软件,把无辜的智能型影机等设备们征召入伍,变成阻断服务攻击(Denial-of-Service,DoS)大军的成员,再用来攻击特定网站,让网站因为被联机塞爆而无法运作。

这些黑客的攻击目标,通常不会是设备的用户本身,而是(例如)立场跟他们不合的网站;甚至有越来越多的人透过这种方式来“绑架”特定网站,并且勒索赎金。

尤有甚者,还有一些大规模攻击是针对DNS之类的网络基本架构服务进行;DNS(Domain Name Service/Server,域名服务/服务器)的主要功能,在于将“example.com”之类的域名转换成像是“93.184.216.34”的IP地址。

就在前几天,服务商Dyn就遭到了大规模的阻断攻击,导致美国东岸的Twitter、Netflix、甚至纽约时报等媒体网站断线;没有人知道主使者是谁、或是为了什么目的,但是这种事情的发生很令人担忧:如果下一次攻击是冲着电力或运输网络而来怎么办?如果整个通讯系统都断了怎么办?

我们也不知道怎么办。但我们知道,如果网络是如此的脆弱,再加上这些廉价的物联网IoT产品、以及它们被蒙在鼓里的主人,往后可能会发生的威胁是我们所想不到的。 

而这样的威胁,也可以说是智能手机风潮的副产品:上亿支的手机产品,创造了一个由零组件、制造商、以及经销商所组成,而且竞争激烈无比的生态系。为了竞争,有许多人会偷懒、抄近路,导致难以数计的“危险”设备暴露在网络上。

有谁会想到,有一天连保安摄影机都会被入侵,反而变成最不安全的东西?

如果这一点听起来有点太夸张,这里可以提供一个故事给您参考:有许多联机装置(包括常见的飞利浦Hue智能灯泡)都使用了一个叫做ZigBee的通讯协议,而这个协定最近才被发现有安全漏洞。

最近的一篇纽约时报文章,就描述了研究人员如何找出破解ZigBee网络的方式,并且“攻占”了整个照明系统、以及使用同一协议来联机的装置。

我们也相信,消费等级的物联网IoT产品必定会流行起来,但这个流行风潮也可能带来一些问题,也少不了觊觎这些设备漏洞的有心人士。所以,制造这些设备的厂商都必须正视这个问题、并且负起应有的责任;而消费者也必须先做点功课,了解哪些厂商在安全和隐私方面真的下过功夫,再用实际的购买行为来鼓励它们的贴心。

本文转自d1net(转载)

时间: 2024-10-26 00:03:49

廉价物联网设备:未来的另一个安全隐忧的相关文章

面向未来十年的物联网设备安全评估方法集合

本文讲的是面向未来十年的物联网设备安全评估方法集合, 端对端生态系统方法论 在检查物联网技术时,人们会自然而然的只把那些嵌入式设备作为测试重点并针对这些设备得出一些检查方法,不过对于整个端对端生态系统来说,这其实是非常片面的理解.有效的评估方法应该要考虑整个物联网解决方案,或者是整个物联网产品生态系统.总而言之,对产品的安全测评的每一项均应放到整个物联网产品的生态系统中去考量. 物联网产品的生态系统主要包括四大方面: 1.嵌入式设备和相关传感器接收器.执行器之间的关系 2.移动应用程序和命令控制

低功耗广域网 +设备民主化 引领物联网走向未来

2014年9月IBM发布了一篇研究报告<设备民主化--拯救物联网的未来>,该报告指出:连接成本.失去信任.不能满足未来需求.缺少功能价值和脱节的业务模式是构建1000亿连接的物联网的主要挑战.连接成本是第一位的,当前的互联网连接其实都是面向人的,是"人联网"."人联网"的主导者是运营商,目前运营商网络的特点就是高投入.高成本,因此不可能作为1000亿规模的物联网接入的关键基础设施.而wifi.蓝牙和zigbee是短距离的无线通讯技术,已经在部分物联网场景

专家:未来更应注重“勒索软件”对其它重要物联网设备威胁

IEEE(美国电气和电子工程师协会)17日特邀网络安全领域专家就肆虐全球的"WannaCry勒索软件"提供了专业的技术观点.他们称,此次勒索软件散播途径与以往不同,最有效的预防方法是安装补丁,而未来更应注重"勒索软件"对其它重要物联网设备的威胁. 厄尔斯特大学网络安全专业教授凯文·科兰表示,数据显示,在众多网络攻击当中,"勒索软件"利用攻击套件的案件占比由2015的17%上升到2016年的61%,与传统勒索软件的散播途径不同,此次"Wa

物联网设备安全2.1 酒店门锁和磁卡

摘要 电子撬锁--滥用门锁 危害物理安全 目前已知最古老的锁可以追溯到4000年前,它发现于古埃及帝国的废墟中.这种锁因当时在该地区流行而被称为埃及锁.锁是用木头做的,内有不同长度的木销.门上的一个槽可以插入带有与锁销长度匹配的木销的木钥匙.钥匙插入到锁中并抬起,使木销均匀地在门闩顶部对齐,这样便可以打开门. 从埃及人开始,我们受希腊.罗马和各种来自中国.土耳其.印度等东方国家的锁的影响,以及后来英国和美国的影响,造就了今天我们所依赖的各种不同类型的锁,它包括了可移动的杠杆.圆柱形的钥匙和销栓的

智能家居驱动物联网设备爆发

物联网的快速发展正在使人们迎来万物互联时代.而智能家居作为新兴事物近年来正异军突起,成为产业界争相布局的热点. 全球知名市场研究机构Strategy Analytics近日发布最新研究报告指出,智能家居将在2020年成为物联网进一步发展的关键,届时连接数将会达到500亿.专家预测,智能家居前景广阔,未来将成为物联网市场增长的主要驱动力. 智能家居将成物联网发展关键 Strategy Analytics报告<互联世界:智能家居是未来物联网成长的关键>指出,企业近年来一直是物联网使用的关键市场,但

Cat.0实现更低功耗、更低成本物联网设备连接到LTE网络

Cat.0实现更低功耗.更低成本物联网设备连接到LTE网络,两节普通5号电池可以用10年以上! 在介绍Cat.0之前,我们来看一下移动通信技术遵循的发展规律:每10年经历一次跨越.     伴随着移动通讯技术发展的是不断壮大的物联网市场,思科去年就发布调研报告称,到2020年,将有500亿设备接入互联网,市场规模将达到19万亿美元;IDC报告则指出,到2020年,全球的物联网市场将有300亿设备接入互联网. 各家的预测数字虽有所不同,但一致的是大都持着乐观的态度,看好物联网市场.盖茨他老人家不是

大批物联网设备扎堆CES 物联网产业化提速

作为全球最大.影响最为广泛的消费类电子技术年展,每一年的CES大会都会吸引着许多企业的青睐.而今年的CES也不例外,本次展会所展出的产品包含有手机.平板.智能穿戴以及无人机等产品.值得一提的是一波新的参展商正竞相追逐消费电子领域的新趋势:物联网. 我们看到,全球领先的物联网方案提供商江波龙科技发布全球最小尺寸物联网WiFiSiP模组-LTP0201:长虹物联网开放平台也迎来首秀:老牌科技厂商爱立信发布物联网方案,布局智慧家居和城市.可以说,物联网闪耀2016年CES大会.业内人士指出,物联网(I

物联网技术未来谁主沉浮:多模融合产品成为趋势

物联网时代已来,从智慧城市到车联网再到共享单车,万物互联的雏形已经出现. 但随着物联网需求爆发式增长的同时,物联网技术标准的混战也正不断升级,尤其是以低功耗广域物联网(LPWAN)的竞争最为激烈,NB-IoT.eMTC.LoRa甚至是WiFi都想在LPWAN市场尚未大规模部署前获得各方最大的支持,从而占据商用的领先位置. 都想成为老大的LPWAN们 每个LPWAN技术的背后都站着数个行业巨头,这让每个LPWAN技术都想成为未来物联网的老大. 以电信运营商市场为例,目前众多电信运营商支持并开始部署

全新英特尔®凌动™处理器E3900系列:支持下一代智能互联的物联网设备 —— 这个全新处理器系列把计算能力迁移到更靠近传感器的位置,从而减轻把所有处理工作推向数据中心的需求

物联网让数十亿智能互联设备互相连接,正在改变人们的生活和工作方式.到2020年,互联设备的数量预计将显著提高,500亿个设备(思科IBSG)每年产生44 ZB(44万亿字节)的数据,并且在端和雾网络中需要更高的处理能力,才能维持可行性. 为了支持这些体验,在今天举办的物联网解决方案大会上,英特尔宣布推出最新一代用于物联网应用的英特尔凌动处理器.全新英特尔凌动处理器E3900系列从头设计,旨在支持物联网业务的快速发展和与日俱增的复杂性.该款处理器能够提满足IOT业务快速发展所需的性能.处理能力和可