近年來隨著物聯網技術的成熟與發展,加之廠商建設自有生態鏈的意愿前所未有的攀升,越來越多的家居智能設備也已經開始走入千家萬戶。在這個過程中,一些價格極低、使用方法也相對簡單的智能設備,很自然就成為了市場的寵兒與消費者的首選。
然而俗話說得好,“一分錢一分貨”,廉價設備必然在功能、工藝,及設計等方面有所取舍,這一點其實是大家都明白的事實。但除了這些方面的短板之外,對于智能設備來說,過于受限的成本有時候還可能會導致一些你根本想不到的問題。
近日,倫敦瑪麗皇后大學與中國科學院共同公布了一則針對家用監控攝像頭的安全性研究成果。他們發現,與過去認為“廉價攝像頭可能會被黑客入侵”的情況不同,實際上不法分子如果真想利用家庭攝像頭來做壞事,他們甚至根本就不需要那么麻煩的操作。
首先,廉價安防攝像頭普遍采用動態碼率對拍攝到的內容進行視頻編碼,因此當畫面中出現運動物體或更多的聲音(比如房間里有人出現)時,所生成的視頻瞬間數據量必然會比畫面靜止的時候更大。其次由于此類攝像頭普遍采用“邊拍攝邊上傳”的設計,因此安全人員發現,他們實際上既不需要真的入侵攝像頭,也不用截流或者破解攝像頭的上傳數據,只需嗅探攝像頭上傳流量的大小變化,就能得到足夠關鍵的個人信息。用倫敦瑪麗皇后大學研究員Tyson的話來說,“他們(不法分子)會在很長一段時間內監視攝像頭上傳數據時的流量,并通過分析流量較大時的數據,來預測下周哪天有可能你不在家,然后上門去偷你的財物”。
那么,為什么會產生這種現象呢?這位研究員在接受媒體采訪時其實就說得非常清楚了。他表示,“現在的攝像頭非常愚蠢,這和成本控制有關”。
是的,對比專業攝像頭產品通常采用大容量本地存儲(有時甚至是專用固態硬盤)的做法,如今的廉價家用安防攝像頭往往并不具備本地存儲配置。如此一來,要想實現諸如遠程查看這樣的“云服務”功能,將拍攝到的數據上傳到遠端服務器似乎就成了唯一的解決辦法。與此同時,相對較低的研發成本也使得開發人員不會去思考一些更為穩妥的解決方案,比如此次研究團隊提出的分時上傳,或是在上傳時填充混淆性的數據,使得外部無法嗅探到流量變化之類的做法。
簡而言之,因為預算不足,所以研發人員不會去進行更深入的功能思考與細節優化;因為產品的定價不高,所以功能和配置上必然有所縮水。而以上兩種因素的共同作用結果就產生了前文所述的那種,可以被不法人士輕松利用的安全漏洞。
看到這里可能有的朋友會說,我知道廉價智能設備可能因為成本帶來一些問題了,但既然問題曝光了,那么廠商只要能夠及時通過軟件進行BUG修正不就好了嗎?
盡管理論上來說的確如此,但很可惜的是,根據德國弗勞恩霍夫通信研究所(FKIE)同樣是在近日公布的一項研究顯示。低價格所帶來的影響,可能不僅僅體現在智能設備的研發與功能配置上,它同樣也會影響產品后期維護和BUG修正的積極性。
弗勞恩霍夫通信研究所選取的研究對象并不是安防攝像頭,而是更為常見的家用路由器產品。他們研究了包括華碩、網件、領勢,以及TP-Link與D-Link在內,總共七家路由器廠商推出的多達127款產品。結果發現,有六分之一的路由器在過去的兩年時間里沒有得到任何安全補丁和系統更新,最糟糕的一款產品甚至使用了超過五年的時間,卻從未得到過任何的后續更新服務。
不僅如此,當研究人員將所有127款路由器上一次得到系統更新的間隔時間整理成圖表后,他們發現,表現最好的華碩、網件和AVM三家,在系統更新的積極性上比其他對手高出了幾倍之多。用這些研究者的原話來說,表現最好的三家廠商在安全性方面名列前茅,他們旗下的所有設備在過去的一年半時間里都至少得到過一次更新服務,但其他四家(D-Link、Linksys、TP-Link和Zyxel)則明顯要落后許多,有的甚至數年都不給旗下產品發布安全更新。
三家安全性領先的路由器廠商最熱銷的產品
為什么會這樣?弗勞恩霍夫通信研究所的研究員并沒有點破。但是當我們三易生活在電商平臺上搜索了一下這七家品牌最典型與熱銷的的產品價位段之后,問題的答案自然也就呼之欲出了。
