物聯(lián)網(wǎng)安全隱憂“初現(xiàn)”

向治霖

近日，創(chuàng)維品牌的智能電視被曝，其疑似“違規(guī)收集用戶信息”。從操作上看，智能電視的后臺(tái)默認(rèn)開啟著一個(gè)功能：“勾正數(shù)據(jù)服務(wù)”，有人員對(duì)該服務(wù)抓包研究，發(fā)現(xiàn)它會(huì)每隔10分鐘掃描一次家中聯(lián)網(wǎng)的所有智能設(shè)備，收集諸如IP、Mac、Hostname的地址或端口信息，甚至，“網(wǎng)絡(luò)延遲時(shí)間的數(shù)據(jù)也被收錄進(jìn)去”。

這些數(shù)據(jù)，最終被打包和上傳到一個(gè)叫“勾正數(shù)據(jù)”的數(shù)據(jù)公司的官方域名。也就是說，過去很長(zhǎng)一段時(shí)間中，創(chuàng)維電視用戶的家中各類設(shè)備信息，被這家數(shù)據(jù)公司悄無聲息地掌握著。

創(chuàng)維的這起事件，在網(wǎng)絡(luò)上掀起了不小波瀾，但截至目前，除了創(chuàng)維和勾正數(shù)據(jù)兩家公司作出了回應(yīng)，該事件并沒有其他新的進(jìn)展，而“被采集的數(shù)據(jù)具體有哪些”“采集的時(shí)間有多久了”類似的疑問，仍然沒有被解答。

創(chuàng)維事件的從前到后，是當(dāng)下物聯(lián)網(wǎng)安全生態(tài)的一個(gè)縮影，毋庸諱言，被曝光的它也只是該領(lǐng)域的冰山一角。

開門的人

創(chuàng)維事件的特殊之處在，它或許是第一個(gè)在國內(nèi)民間引起了關(guān)注的物聯(lián)網(wǎng)安全事件。

它受到關(guān)注，是因?yàn)閷?dǎo)致了可感受的結(jié)果。首先是，“勾正數(shù)據(jù)服務(wù)”的相關(guān)APK（程序開發(fā)包）開發(fā)程度相當(dāng)一般，優(yōu)化過程的不足，導(dǎo)致它影響到用戶的正常使用體驗(yàn)。在最早的曝光者那，就是因?yàn)椤半娨曈悬c(diǎn)卡卡的”，才刺激了用戶去抓包研究。

再者，相關(guān)APK的代碼顯示，勾正數(shù)據(jù)的做法簡(jiǎn)陋而野蠻。這項(xiàng)服務(wù)收集的IP、Mac、Hostname等信息，無疑是屬于個(gè)人隱私數(shù)據(jù)的范疇。

僅以IP為例，由于公網(wǎng)IP的全球唯一性，一是可以定位到具體的使用人，二是理論上還可以確切定位到使用人地址。打個(gè)比方說，勾正數(shù)據(jù)的做法，就像在今天的“天網(wǎng)系統(tǒng)”下仍然當(dāng)街搶劫的落伍悍匪。

如此看，勾正數(shù)據(jù)的野心之大，而手段之低，固然令人印象深刻。但在另一方面，更應(yīng)該注意的是，如創(chuàng)維這樣直接面對(duì)用戶的品牌，在其中扮演的角色。

4月27日，在對(duì)該事件作出的回應(yīng)中，創(chuàng)維表示，即刻中止了與勾正數(shù)據(jù)的合作，并強(qiáng)調(diào)稱，創(chuàng)維在合作中只接受收視率調(diào)查相關(guān)的數(shù)據(jù)采集，對(duì)超過邊界的其他數(shù)據(jù)采集均未授權(quán)，且不知情。

創(chuàng)維試圖撇清責(zé)任的聲明，可信任度并不高。僅在技術(shù)的方面而言，自動(dòng)運(yùn)行的相關(guān)APK是內(nèi)置在電視系統(tǒng)內(nèi)，相當(dāng)于產(chǎn)品內(nèi)部的一個(gè)零件，創(chuàng)維本身有義務(wù)進(jìn)行安全性的審查，而非事發(fā)后一句“不知情”就能免責(zé)。

實(shí)際上，正因?yàn)橄嚓P(guān)APK內(nèi)置在電視系統(tǒng)，才會(huì)獲得用戶的相當(dāng)多授權(quán)，由此獲得了方便法門。依舊用比喻說明，勾正數(shù)據(jù)是手法粗陋的“悍匪”，那么在這過程中，創(chuàng)維公司就是受邀進(jìn)入了用戶家中，卻悄悄給“悍匪”開門的那個(gè)人。

創(chuàng)維和勾正數(shù)據(jù)的“明目張膽”，換來的是國內(nèi)物聯(lián)網(wǎng)安全“第一波輿情”，算得上種瓜得瓜、種豆得豆。而在這之前，以物聯(lián)網(wǎng)、智慧屏、個(gè)性化定制的名義來張目的行徑，總是披著“未來生活”和“高科技”的皮囊。

即便現(xiàn)在，創(chuàng)維電視的“監(jiān)控”手法已被揭穿，但代碼之中透露的違規(guī)行徑，依然很難被普通用戶們概念化地理解。

這是“未來生活”的一個(gè)黑暗側(cè)面。物聯(lián)網(wǎng)安全領(lǐng)域的暢銷書《物聯(lián)網(wǎng)設(shè)備安全》的作者Nitesh Dhanjani曾在書中表示，今天的我們對(duì)安全的認(rèn)知，似乎仍停留在直觀的損失，但是長(zhǎng)期忽略隱形的、抽象的危機(jī)。

老問題和新問題

趨勢(shì)是很明顯的，現(xiàn)在，我們正從移動(dòng)互聯(lián)網(wǎng)時(shí)代過渡到物聯(lián)網(wǎng)時(shí)代。物聯(lián)網(wǎng)（Internet of Things），說的主要是物與物的連接。因而，如今面對(duì)的安全問題，也與過去的有所不同。

用比喻說明，勾正數(shù)據(jù)是手法粗陋的“悍匪”，那么在這過程中，創(chuàng)維公司就是受邀進(jìn)入了用戶家中，卻悄悄給“悍匪”開門的那個(gè)人。

對(duì)于技術(shù)的升級(jí)，它即將帶來的便利被廣而告之，但在它之中蘊(yùn)藏的風(fēng)險(xiǎn)，我們準(zhǔn)備好了嗎？

一個(gè)老問題是，網(wǎng)絡(luò)的隱私泄露問題從未得到根本解決，它自移動(dòng)互聯(lián)網(wǎng)向物聯(lián)網(wǎng)一脈相承，創(chuàng)維電視事件就是典型例子。事件曝光后，不乏聲音在問：數(shù)據(jù)公司獲取這么多數(shù)據(jù)，用途是什么？

有了互聯(lián)網(wǎng)安全的前車之鑒，不難推測(cè)出一個(gè)用途：制作更全面的用戶畫像、精準(zhǔn)營銷。

從勾正數(shù)據(jù)的官網(wǎng)看，其主要業(yè)務(wù)之一，就是提供大屏廣告營銷的技術(shù)支持。大屏，是相對(duì)于手機(jī)的小屏幕而言，也就是說，家中的電視也成為廣告商們的“獵物”之一。以當(dāng)下手機(jī)應(yīng)用的使用體驗(yàn)論，精準(zhǔn)營銷已是無處不在，而這一套，很可能無縫移植到個(gè)人用戶的物聯(lián)網(wǎng)設(shè)備。

那些聽上去顯得“賽博朋克”的場(chǎng)景，正在變得可執(zhí)行：你家中的Wi-Fi下，電腦、手機(jī)顯示你的生活習(xí)慣；智能電燈、窗簾的開合，記錄你的作息規(guī)律；智能油煙機(jī)、空氣炸鍋和微波爐等等，清楚你的飲食習(xí)慣；智能手表和手環(huán)等等監(jiān)視器，比你早一步預(yù)測(cè)到自己的健康狀況……

接著有一天，你看到助眠藥物的廣告、外賣或食材推送的廣告，如此等等的商品映入眼簾，你感到甚合心意。

以上的場(chǎng)景，聽上去雖然異樣，但似乎不是很壞。那么，再假設(shè)一下，如果這些設(shè)備的傳感器故障了呢？或者，信息被收集的不完全、甚至是被篡改過的信息，由此導(dǎo)致了一連串的后果，這是完全有可能的。

隨著大帶寬的普及和5G技術(shù)的推廣，物聯(lián)網(wǎng)真正開始了大規(guī)模商用。在此背景下，一個(gè)新問題出現(xiàn)了—我們將越來越依賴互聯(lián)網(wǎng)，現(xiàn)實(shí)與虛擬的界限被進(jìn)一步打破，但是，此中的安全還無法確切保障。

我們知道，互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)，也是從此一路走來。雖然，網(wǎng)絡(luò)安全至今仍被詬病，總有大規(guī)模的信息泄露事件發(fā)生，但國內(nèi)的網(wǎng)絡(luò)安全狀況相比2016年前，現(xiàn)在已經(jīng)完善不少。其中，起推動(dòng)作用的是政策制定和民間的關(guān)注力量。

對(duì)一個(gè)軟件的開發(fā)商而言，最重要的是功能實(shí)現(xiàn)，安全并不是一項(xiàng)“剛需”，并且成本高昂、需要時(shí)時(shí)維護(hù)。2016年以后，隨著網(wǎng)絡(luò)安全法等相關(guān)法律的研討和出臺(tái)，安全意識(shí)才走入國內(nèi)大部分廠商的規(guī)劃之內(nèi)。

現(xiàn)在的問題是，物聯(lián)網(wǎng)要走過這個(gè)階段，需要的時(shí)間有多久？

更值得擔(dān)憂的是，在物聯(lián)網(wǎng)時(shí)代，設(shè)備變得更多、智能終端變得更小，“值守性小”，它們需要更高的安全成本。值守性是說，物聯(lián)網(wǎng)的一個(gè)顯著特性是，它們不像手機(jī)那樣，被時(shí)刻放在使用者身邊。物聯(lián)網(wǎng)設(shè)備，如洗衣機(jī)、電冰箱、電飯煲，使用的頻次有限，而一旦出現(xiàn)漏洞，發(fā)現(xiàn)時(shí)間長(zhǎng)，造成的損失多，維護(hù)的成本也隨之變大。

代碼漏洞

從現(xiàn)實(shí)中看，解決網(wǎng)絡(luò)帶來的隱私和安全問題，當(dāng)下仍然是一片膠著狀態(tài)。盡管每年都有網(wǎng)絡(luò)安全事件、隱私泄露事件，它們都引起了極大的關(guān)注，但違規(guī)行為的頻次和規(guī)模，也漸漸令人產(chǎn)生麻木心理，似乎“犧牲自己的隱私”，是一個(gè)階段的人們注定的境遇。

所謂“隱私換便利”“利大于弊”，在移動(dòng)互聯(lián)網(wǎng)時(shí)代，它們是技術(shù)進(jìn)步論支持者的自我辯護(hù)理由。但在物聯(lián)網(wǎng)時(shí)代，連這也變得不同了。

原因仍是在于，物聯(lián)網(wǎng)對(duì)“網(wǎng)絡(luò)”與現(xiàn)實(shí)之間界限的進(jìn)一步擊破。Nitesh Dhanjani在2017年提出過這樣一些說法和場(chǎng)景：“利益大于風(fēng)險(xiǎn)”定式的關(guān)鍵是，過去互聯(lián)網(wǎng)時(shí)代的風(fēng)險(xiǎn)幾乎是看不到的，因?yàn)樗鼈兩婕暗氖切畔⒑徒疱X。現(xiàn)在，假設(shè)這些后果在物聯(lián)網(wǎng)時(shí)代存在，如城市陷入一片黑暗之中，醫(yī)療器械開始?xì)⒑颊撸淞钍澄镒冑|(zhì)，司機(jī)失去對(duì)汽車的控制能力……我們是否還會(huì)像現(xiàn)在這樣容忍技術(shù)上的失敗？

Nitesh Dhanjani誠然有些“先天下之憂而憂”，但他設(shè)想的場(chǎng)景，并非不能實(shí)現(xiàn)。

2018年，美國有“白帽黑客”試圖入侵一款咖啡機(jī)。經(jīng)過一周的測(cè)試發(fā)現(xiàn)，黑客可以遙控觸發(fā)咖啡機(jī)，打開咖啡機(jī)的加熱器，加水，旋轉(zhuǎn)磨豆機(jī)，甚至顯示贖金消息，同時(shí)反復(fù)發(fā)出嗶嗶聲。

2020年，研究網(wǎng)絡(luò)安全的組織Cyber News，決定做一件事“警告全球范圍內(nèi)的打印機(jī)所有者，加強(qiáng)打印機(jī)安全”。據(jù)稱，研究人員使用物聯(lián)網(wǎng)搜索引擎Shodan，搜索使用通用打印機(jī)端口和協(xié)議的開放設(shè)備。過濾掉大部分誤報(bào)后，發(fā)現(xiàn)了80多萬臺(tái)打印機(jī)啟用了網(wǎng)絡(luò)打印功能，并且可以直接通過互聯(lián)網(wǎng)進(jìn)行訪問。

物聯(lián)網(wǎng)設(shè)備，如洗衣機(jī)、電冰箱、電飯煲，使用的頻次有限，而一旦出現(xiàn)漏洞，發(fā)現(xiàn)時(shí)間長(zhǎng)，造成的損失多，維護(hù)的成本也隨之變大。

事實(shí)上，大多數(shù)人對(duì)電腦、手機(jī)的安全性很敏感，但對(duì)如打印機(jī)、咖啡機(jī)等等的物聯(lián)網(wǎng)設(shè)備關(guān)注不足，而這，也就讓物聯(lián)網(wǎng)設(shè)備的安全性工作做得敷衍，非常容易被攻破。

根據(jù)securityaffairs（安全漏洞測(cè)試網(wǎng)站）的用戶測(cè)試，日前，一款智能炸鍋中發(fā)現(xiàn)了兩個(gè)遠(yuǎn)程執(zhí)行代碼（RCE）漏洞：TALOS-2020-1216（CVE-2020-28592）和 TALOS-2020-1217（CVE-2020-28593）。

據(jù)披露，CVE-2020-28592是基于堆的緩沖區(qū)溢出漏洞，位于智能炸鍋的配置服務(wù)器功能中。通過將包含特制JSON對(duì)象的數(shù)據(jù)包發(fā)送到設(shè)備，可以利用此漏洞。CVE-2020-28593是未經(jīng)身份驗(yàn)證的后門，位于Cosori Smart 5.8-Quart空氣炸鍋CS158-AF 1.1.0的配置服務(wù)器功能，同樣通過發(fā)送特質(zhì)JSON對(duì)象的數(shù)據(jù)包進(jìn)行利用。

簡(jiǎn)言之，漏洞使得攻擊者可以成功接管設(shè)備并執(zhí)行各種惡意行為。

入侵空氣炸鍋可以干什么？由于智能炸鍋允許用戶通過Wi-Fi控制設(shè)備、進(jìn)行食譜查找和烹飪，因此攻擊成功后，炸鍋的溫度、烹飪時(shí)間和相關(guān)設(shè)置可以被篡改，或是攻擊者可以在受害者不知情的情況下啟動(dòng)炸鍋。

所謂網(wǎng)絡(luò)安全漏洞測(cè)試平臺(tái)，是指“白帽黑客”們聚集的地方。他們經(jīng)各種渠道和授權(quán)方式，利用安全工具找出網(wǎng)絡(luò)漏洞，并將結(jié)果反饋給平臺(tái)。同時(shí)，相關(guān)廠商也會(huì)受到平臺(tái)的致信反饋，從而，廠商在“白帽黑客”幫助下修復(fù)漏洞。這個(gè)模式，在國內(nèi)可追溯到現(xiàn)已關(guān)停的烏云網(wǎng)。

空氣炸鍋的漏洞，只是當(dāng)下萬物互聯(lián)隱憂中的一例。在快節(jié)奏的互聯(lián)網(wǎng)物聯(lián)網(wǎng)發(fā)展中，如果沿用從前的野蠻生長(zhǎng)路線，先發(fā)展后治理，那無疑會(huì)為將來埋下地雷。這一次，性命攸關(guān)。

值得一提的是，根據(jù)securityaffairs顯示，截至目前，相關(guān)空氣炸鍋的供應(yīng)商尚未修復(fù)漏洞，而由于已經(jīng)超過了漏洞披露政策中90天的緩沖器，相關(guān)研究人員披露了這些漏洞。這一幕安全人員與廠商的博弈，似乎是過去互聯(lián)網(wǎng)安全的故事再上演。