廉價設計IoT設備:未來的另一個安全隱憂/Jean-Louis Gassée
智慧型手機的崛起有個副作用,就是造就了一個豐富(但廉價)的功能模組生態系。這些模組在資訊安全方面都不是很理想,而如果輕率的將這些模組拼成一些廉價裝置,將可能會對市場帶來負面的影響。
事實上,這個問題已經在發生之中。
從前自己組,現在別人幫你組。你放心嗎?
從前,如果你想自己組裝一部電腦,通常必須從走一趟東京秋葉原之類的地方開始。因為這類市場裡有任何想像得到的零組件,從電阻到主機板,真空管到黑膠唱片用的唱針應有盡有;如果需要的話還可以順道買個按摩器之類的東西。
你只要帶支螺絲起子,就可以把機殼、電源供應器、主機板、超頻處理器、水冷裝置、風扇、霓虹燈之類有用沒用的東西組起來。對於PC來說,這類市場就像是個器官銀行一樣。
現在,或許從頭自己組PC的人沒有以前多了,但有許多人又在瘋另外一種東西:IoT(物聯網)。如果你也覺得這些東西有前途,也可以開一家公司來賣自己組出來的監視攝影機、嬰兒監控裝置、或是智慧型烤麵包機等等。
如果你想要找個地方,既可以看看別人做了些什麼,又可以找到零組件、設計師、代工廠和相關的報價,最好的去處莫過於中國深圳的華強北一帶;那裡不只是著名的鴻海富士康大本營,也是全球最大的感應器、攝影鏡頭、GPS衛星定位、以及(最重要的)無線傳輸等模組集散中心。
在研發上省下來的錢,終究還是得用在打品牌上。
你的第一步可以從買一套聯發科(Mediatek)或類似廠商的單晶片系統開始;這裡面可能包括一顆ARM處理器、精簡版的Linux軟體引擎、以及有線或無線連網模組。只要再加上鏡頭、感應器、還有驅動程式,然後找一家代工組裝廠,貴公司的專屬自有品牌安全監視攝影機就可以上市了。
但是,這樣做出來的產品通常都跟別人家的差不多;你在研發上省下來的錢,終究還是得用在打品牌上,還得說服財迷心竅的通路賣你的產品、靠寫開箱文賺錢的部落客願意幫你開箱……。
誰說消費性電子產品生意好做的?
如果你的產品失敗了,只有投資人和同事會傷心而已;但如果你成功了,恭喜,但後面的麻煩才正要開始而已。
你能,別人也能。你放心嗎?
賣你模組的供應商,可能也同時賣了幾百萬個一樣的東西給你的競爭對手、或是其他一樣做著IoT產品夢的創業者,像是做智慧錄影機的、智慧鎖的、智慧天氣站的、智慧家庭照明系統的等等。
而這些產品的銷售對象,通常是對科技不熟的家庭用戶;他們不知道軟體或韌體是可以升級的,忘了帳號密碼更是家常便飯。
各家廠商都很聰明,多半會幫產品留一道「後門」。
幸好各家廠商都很聰明,多半會幫產品留一道「後門」,讓客服人員可以用這組通用的帳號密碼來遠端解鎖,毫不費力的幫顧客解決燃眉之急。
這一點你(現在)知道、廠商知道、當然技藝高超的駭客們也會知道。只要利用最常見的Linux解譯工具,他們就可以輕鬆檢視這些設備中的嵌入式系統,然後找到這組便利的後門帳號密碼,把這些偷懶廠商做的設備統統解開。
大軍壓境
這時候,已經登堂入室的駭客們就可以搞更多花樣了:例如上傳一些軟體,把無辜的智慧型影機等設備們徵召入伍,變成阻斷服務攻擊(Denial-of-Service,DoS)大軍的成員,再用來攻擊特定網站,讓網站因為被連線塞爆而無法運作。
這些駭客的攻擊目標,通常不會是設備的用戶本身,而是(例如)立場跟他們不合的網站;甚至有越來越多的人透過這種方式來「綁架」特定網站,並且勒索贖金。
尤有甚者,還有一些大規模攻擊是針對DNS之類的網路基本架構服務進行;DNS(Domain Name Service/Server,網域名稱服務/伺服器)的主要功能,在於將「example.com」之類的網域名稱轉換成像是「93.184.216.34」的IP位址。
就在前幾天,服務商「Dyn」就遭到了大規模的阻斷攻擊,導致美國東岸的Twitter、Netflix、甚至紐約時報等媒體網站斷線;沒有人知道主使者是誰、或是為了什麼目的,但是這種事情的發生很令人擔憂:如果下一次攻擊是衝著電力或運輸網路而來怎麼辦?如果整個通訊系統都斷了怎麼辦?
我們也不知道怎麼辦。但我們知道,如果網路是如此的脆弱,再加上這些廉價的IoT產品、以及它們被蒙在鼓裡的主人,往後可能會發生的威脅是我們所想不到的。
來自生態系的入侵
而這樣的威脅,也可以說是智慧型手機風潮的副產品:上億支的手機產品,創造了一個由零組件、製造商、以及經銷商所組成,而且競爭激烈無比的生態系。為了競爭,有許多人會偷懶、抄近路,導致難以數計的「危險」設備暴露在網路上。
有誰會想到,有一天連保全攝影機都會被入侵,反而變成最不保全的東西?
如果這一點聽起來有點太誇張,這裡可以提供一個故事給您參考:有許多連線裝置(包括常見的飛利浦「Hue」智慧燈泡)都使用了一個叫做「ZigBee」的通訊協定,而這個協定最近才被發現有安全漏洞。
最近的一篇紐約時報文章,就描述了研究人員如何找出破解ZigBee網路的方式,並且「攻佔」了整個照明系統、以及使用同一協定來連線的裝置。
我們也相信,消費等級的IoT產品必定會流行起來,但這個流行風潮也可能帶來一些問題,也少不了覬覦這些設備漏洞的有心人士。所以,製造這些設備的廠商都必須正視這個問題、並且負起應有的責任;而消費者也必須先做點功課,瞭解哪些廠商在安全和隱私方面真的下過功夫,再用實際的購買行為來鼓勵它們的貼心。
參考閱讀:
DDoS Attack Takes Down Central Heating System Amidst Winter In Finland(芬蘭發生DDoS攻擊事件導致暖氣系統在冬天失效)
(編譯/傅瑞德)