物聯網安全隱憂“初現”

向治霖

近日，創維品牌的智能電視被曝，其疑似“違規收集用戶信息”。從操作上看，智能電視的后臺默認開啟著一個功能：“勾正數據服務”，有人員對該服務抓包研究，發現它會每隔10分鐘掃描一次家中聯網的所有智能設備，收集諸如IP、Mac、Hostname的地址或端口信息，甚至，“網絡延遲時間的數據也被收錄進去”。

這些數據，最終被打包和上傳到一個叫“勾正數據”的數據公司的官方域名。也就是說，過去很長一段時間中，創維電視用戶的家中各類設備信息，被這家數據公司悄無聲息地掌握著。

創維的這起事件，在網絡上掀起了不小波瀾，但截至目前，除了創維和勾正數據兩家公司作出了回應，該事件并沒有其他新的進展，而“被采集的數據具體有哪些”“采集的時間有多久了”類似的疑問，仍然沒有被解答。

創維事件的從前到后，是當下物聯網安全生態的一個縮影，毋庸諱言，被曝光的它也只是該領域的冰山一角。

開門的人

創維事件的特殊之處在，它或許是第一個在國內民間引起了關注的物聯網安全事件。

它受到關注，是因為導致了可感受的結果。首先是，“勾正數據服務”的相關APK（程序開發包）開發程度相當一般，優化過程的不足，導致它影響到用戶的正常使用體驗。在最早的曝光者那，就是因為“電視有點卡卡的”，才刺激了用戶去抓包研究。

再者，相關APK的代碼顯示，勾正數據的做法簡陋而野蠻。這項服務收集的IP、Mac、Hostname等信息，無疑是屬于個人隱私數據的范疇。

僅以IP為例，由于公網IP的全球唯一性，一是可以定位到具體的使用人，二是理論上還可以確切定位到使用人地址。打個比方說，勾正數據的做法，就像在今天的“天網系統”下仍然當街搶劫的落伍悍匪。

如此看，勾正數據的野心之大，而手段之低，固然令人印象深刻。但在另一方面，更應該注意的是，如創維這樣直接面對用戶的品牌，在其中扮演的角色。

4月27日，在對該事件作出的回應中，創維表示，即刻中止了與勾正數據的合作，并強調稱，創維在合作中只接受收視率調查相關的數據采集，對超過邊界的其他數據采集均未授權，且不知情。

創維試圖撇清責任的聲明，可信任度并不高。僅在技術的方面而言，自動運行的相關APK是內置在電視系統內，相當于產品內部的一個零件，創維本身有義務進行安全性的審查，而非事發后一句“不知情”就能免責。

實際上，正因為相關APK內置在電視系統，才會獲得用戶的相當多授權，由此獲得了方便法門。依舊用比喻說明，勾正數據是手法粗陋的“悍匪”，那么在這過程中，創維公司就是受邀進入了用戶家中，卻悄悄給“悍匪”開門的那個人。

創維和勾正數據的“明目張膽”，換來的是國內物聯網安全“第一波輿情”，算得上種瓜得瓜、種豆得豆。而在這之前，以物聯網、智慧屏、個性化定制的名義來張目的行徑，總是披著“未來生活”和“高科技”的皮囊。

即便現在，創維電視的“監控”手法已被揭穿，但代碼之中透露的違規行徑，依然很難被普通用戶們概念化地理解。

這是“未來生活”的一個黑暗側面。物聯網安全領域的暢銷書《物聯網設備安全》的作者Nitesh Dhanjani曾在書中表示，今天的我們對安全的認知，似乎仍停留在直觀的損失，但是長期忽略隱形的、抽象的危機。

老問題和新問題

趨勢是很明顯的，現在，我們正從移動互聯網時代過渡到物聯網時代。物聯網（Internet of Things），說的主要是物與物的連接。因而，如今面對的安全問題，也與過去的有所不同。

用比喻說明，勾正數據是手法粗陋的“悍匪”，那么在這過程中，創維公司就是受邀進入了用戶家中，卻悄悄給“悍匪”開門的那個人。

對于技術的升級，它即將帶來的便利被廣而告之，但在它之中蘊藏的風險，我們準備好了嗎？

一個老問題是，網絡的隱私泄露問題從未得到根本解決，它自移動互聯網向物聯網一脈相承，創維電視事件就是典型例子。事件曝光后，不乏聲音在問：數據公司獲取這么多數據，用途是什么？

有了互聯網安全的前車之鑒，不難推測出一個用途：制作更全面的用戶畫像、精準營銷。

從勾正數據的官網看，其主要業務之一，就是提供大屏廣告營銷的技術支持。大屏，是相對于手機的小屏幕而言，也就是說，家中的電視也成為廣告商們的“獵物”之一。以當下手機應用的使用體驗論，精準營銷已是無處不在，而這一套，很可能無縫移植到個人用戶的物聯網設備。

那些聽上去顯得“賽博朋克”的場景，正在變得可執行：你家中的Wi-Fi下，電腦、手機顯示你的生活習慣；智能電燈、窗簾的開合，記錄你的作息規律；智能油煙機、空氣炸鍋和微波爐等等，清楚你的飲食習慣；智能手表和手環等等監視器，比你早一步預測到自己的健康狀況……

接著有一天，你看到助眠藥物的廣告、外賣或食材推送的廣告，如此等等的商品映入眼簾，你感到甚合心意。

以上的場景，聽上去雖然異樣，但似乎不是很壞。那么，再假設一下，如果這些設備的傳感器故障了呢？或者，信息被收集的不完全、甚至是被篡改過的信息，由此導致了一連串的后果，這是完全有可能的。

隨著大帶寬的普及和5G技術的推廣，物聯網真正開始了大規模商用。在此背景下，一個新問題出現了—我們將越來越依賴互聯網，現實與虛擬的界限被進一步打破，但是，此中的安全還無法確切保障。

我們知道，互聯網和移動互聯網，也是從此一路走來。雖然，網絡安全至今仍被詬病，總有大規模的信息泄露事件發生，但國內的網絡安全狀況相比2016年前，現在已經完善不少。其中，起推動作用的是政策制定和民間的關注力量。

對一個軟件的開發商而言，最重要的是功能實現，安全并不是一項“剛需”，并且成本高昂、需要時時維護。2016年以后，隨著網絡安全法等相關法律的研討和出臺，安全意識才走入國內大部分廠商的規劃之內。

現在的問題是，物聯網要走過這個階段，需要的時間有多久？

更值得擔憂的是，在物聯網時代，設備變得更多、智能終端變得更小，“值守性小”，它們需要更高的安全成本。值守性是說，物聯網的一個顯著特性是，它們不像手機那樣，被時刻放在使用者身邊。物聯網設備，如洗衣機、電冰箱、電飯煲，使用的頻次有限，而一旦出現漏洞，發現時間長，造成的損失多，維護的成本也隨之變大。

代碼漏洞

從現實中看，解決網絡帶來的隱私和安全問題，當下仍然是一片膠著狀態。盡管每年都有網絡安全事件、隱私泄露事件，它們都引起了極大的關注，但違規行為的頻次和規模，也漸漸令人產生麻木心理，似乎“犧牲自己的隱私”，是一個階段的人們注定的境遇。

所謂“隱私換便利”“利大于弊”，在移動互聯網時代，它們是技術進步論支持者的自我辯護理由。但在物聯網時代，連這也變得不同了。

原因仍是在于，物聯網對“網絡”與現實之間界限的進一步擊破。Nitesh Dhanjani在2017年提出過這樣一些說法和場景：“利益大于風險”定式的關鍵是，過去互聯網時代的風險幾乎是看不到的，因為它們涉及的是信息和金錢。現在，假設這些后果在物聯網時代存在，如城市陷入一片黑暗之中，醫療器械開始殺害患者，冰箱令食物變質，司機失去對汽車的控制能力……我們是否還會像現在這樣容忍技術上的失敗？

Nitesh Dhanjani誠然有些“先天下之憂而憂”，但他設想的場景，并非不能實現。

2018年，美國有“白帽黑客”試圖入侵一款咖啡機。經過一周的測試發現，黑客可以遙控觸發咖啡機，打開咖啡機的加熱器，加水，旋轉磨豆機，甚至顯示贖金消息，同時反復發出嗶嗶聲。

2020年，研究網絡安全的組織Cyber News，決定做一件事“警告全球范圍內的打印機所有者，加強打印機安全”。據稱，研究人員使用物聯網搜索引擎Shodan，搜索使用通用打印機端口和協議的開放設備。過濾掉大部分誤報后，發現了80多萬臺打印機啟用了網絡打印功能，并且可以直接通過互聯網進行訪問。

物聯網設備，如洗衣機、電冰箱、電飯煲，使用的頻次有限，而一旦出現漏洞，發現時間長，造成的損失多，維護的成本也隨之變大。

事實上，大多數人對電腦、手機的安全性很敏感，但對如打印機、咖啡機等等的物聯網設備關注不足，而這，也就讓物聯網設備的安全性工作做得敷衍，非常容易被攻破。

根據securityaffairs（安全漏洞測試網站）的用戶測試，日前，一款智能炸鍋中發現了兩個遠程執行代碼（RCE）漏洞：TALOS-2020-1216（CVE-2020-28592）和 TALOS-2020-1217（CVE-2020-28593）。

據披露，CVE-2020-28592是基于堆的緩沖區溢出漏洞，位于智能炸鍋的配置服務器功能中。通過將包含特制JSON對象的數據包發送到設備，可以利用此漏洞。CVE-2020-28593是未經身份驗證的后門，位于Cosori Smart 5.8-Quart空氣炸鍋CS158-AF 1.1.0的配置服務器功能，同樣通過發送特質JSON對象的數據包進行利用。

簡言之，漏洞使得攻擊者可以成功接管設備并執行各種惡意行為。

入侵空氣炸鍋可以干什么？由于智能炸鍋允許用戶通過Wi-Fi控制設備、進行食譜查找和烹飪，因此攻擊成功后，炸鍋的溫度、烹飪時間和相關設置可以被篡改，或是攻擊者可以在受害者不知情的情況下啟動炸鍋。

所謂網絡安全漏洞測試平臺，是指“白帽黑客”們聚集的地方。他們經各種渠道和授權方式，利用安全工具找出網絡漏洞，并將結果反饋給平臺。同時，相關廠商也會受到平臺的致信反饋，從而，廠商在“白帽黑客”幫助下修復漏洞。這個模式，在國內可追溯到現已關停的烏云網。

空氣炸鍋的漏洞，只是當下萬物互聯隱憂中的一例。在快節奏的互聯網物聯網發展中，如果沿用從前的野蠻生長路線，先發展后治理，那無疑會為將來埋下地雷。這一次，性命攸關。

值得一提的是，根據securityaffairs顯示，截至目前，相關空氣炸鍋的供應商尚未修復漏洞，而由于已經超過了漏洞披露政策中90天的緩沖器，相關研究人員披露了這些漏洞。這一幕安全人員與廠商的博弈，似乎是過去互聯網安全的故事再上演。