近年来随着物联网技术的成熟与发展,加之厂商建设自有生态链的意愿前所未有的攀升,越来越多的家居智能设备也已经开始走入千家万户。在这个过程中,一些价格极低、使用方法也相对简单的智能设备,很自然就成为了市场的宠儿与消费者的首选。
然而俗话说得好,“一分钱一分货”,廉价设备必然在功能、工艺,及设计等方面有所取舍,这一点其实是大家都明白的事实。但除了这些方面的短板之外,对于智能设备来说,过于受限的成本有时候还可能会导致一些你根本想不到的问题。
近日,伦敦玛丽皇后大学与中国科学院共同公布了一则针对家用监控摄像头的安全性研究成果。他们发现,与过去认为“廉价摄像头可能会被黑客入侵”的情况不同,实际上不法分子如果真想利用家庭摄像头来做坏事,他们甚至根本就不需要那么麻烦的操作。
首先,廉价安防摄像头普遍采用动态码率对拍摄到的内容进行视频编码,因此当画面中出现运动物体或更多的声音(比如房间里有人出现)时,所生成的视频瞬间数据量必然会比画面静止的时候更大。其次由于此类摄像头普遍采用“边拍摄边上传”的设计,因此安全人员发现,他们实际上既不需要真的入侵摄像头,也不用截流或者破解摄像头的上传数据,只需嗅探摄像头上传流量的大小变化,就能得到足够关键的个人信息。用伦敦玛丽皇后大学研究员Tyson的话来说,“他们(不法分子)会在很长一段时间内监视摄像头上传数据时的流量,并通过分析流量较大时的数据,来预测下周哪天有可能你不在家,然后上门去偷你的财物”。
那么,为什么会产生这种现象呢?这位研究员在接受媒体采访时其实就说得非常清楚了。他表示,“现在的摄像头非常愚蠢,这和成本控制有关”。
是的,对比专业摄像头产品通常采用大容量本地存储(有时甚至是专用固态硬盘)的做法,如今的廉价家用安防摄像头往往并不具备本地存储配置。如此一来,要想实现诸如远程查看这样的“云服务”功能,将拍摄到的数据上传到远端服务器似乎就成了唯一的解决办法。与此同时,相对较低的研发成本也使得开发人员不会去思考一些更为稳妥的解决方案,比如此次研究团队提出的分时上传,或是在上传时填充混淆性的数据,使得外部无法嗅探到流量变化之类的做法。
简而言之,因为预算不足,所以研发人员不会去进行更深入的功能思考与细节优化;因为产品的定价不高,所以功能和配置上必然有所缩水。而以上两种因素的共同作用结果就产生了前文所述的那种,可以被不法人士轻松利用的安全漏洞。
看到这里可能有的朋友会说,我知道廉价智能设备可能因为成本带来一些问题了,但既然问题曝光了,那么厂商只要能够及时通过软件进行BUG修正不就好了吗?
尽管理论上来说的确如此,但很可惜的是,根据德国弗劳恩霍夫通信研究所(FKIE)同样是在近日公布的一项研究显示。低价格所带来的影响,可能不仅仅体现在智能设备的研发与功能配置上,它同样也会影响产品后期维护和BUG修正的积极性。
弗劳恩霍夫通信研究所选取的研究对象并不是安防摄像头,而是更为常见的家用路由器产品。他们研究了包括华硕、网件、领势,以及TP-Link与D-Link在内,总共七家路由器厂商推出的多达127款产品。结果发现,有六分之一的路由器在过去的两年时间里没有得到任何安全补丁和系统更新,最糟糕的一款产品甚至使用了超过五年的时间,却从未得到过任何的后续更新服务。
不仅如此,当研究人员将所有127款路由器上一次得到系统更新的间隔时间整理成图表后,他们发现,表现最好的华硕、网件和AVM三家,在系统更新的积极性上比其他对手高出了几倍之多。用这些研究者的原话来说,表现最好的三家厂商在安全性方面名列前茅,他们旗下的所有设备在过去的一年半时间里都至少得到过一次更新服务,但其他四家(D-Link、Linksys、TP-Link和Zyxel)则明显要落后许多,有的甚至数年都不给旗下产品发布安全更新。
三家安全性领先的路由器厂商最热销的产品
为什么会这样?弗劳恩霍夫通信研究所的研究员并没有点破。但是当我们三易生活在电商平台上搜索了一下这七家品牌最典型与热销的的产品价位段之后,问题的答案自然也就呼之欲出了。