物联网安全隐忧“初现”

向治霖

近日，创维品牌的智能电视被曝，其疑似“违规收集用户信息”。从操作上看，智能电视的后台默认开启着一个功能：“勾正数据服务”，有人员对该服务抓包研究，发现它会每隔10分钟扫描一次家中联网的所有智能设备，收集诸如IP、Mac、Hostname的地址或端口信息，甚至，“网络延迟时间的数据也被收录进去”。

这些数据，最终被打包和上传到一个叫“勾正数据”的数据公司的官方域名。也就是说，过去很长一段时间中，创维电视用户的家中各类设备信息，被这家数据公司悄无声息地掌握着。

创维的这起事件，在网络上掀起了不小波澜，但截至目前，除了创维和勾正数据两家公司作出了回应，该事件并没有其他新的进展，而“被采集的数据具体有哪些”“采集的时间有多久了”类似的疑问，仍然没有被解答。

创维事件的从前到后，是当下物联网安全生态的一个缩影，毋庸讳言，被曝光的它也只是该领域的冰山一角。

开门的人

创维事件的特殊之处在，它或许是第一个在国内民间引起了关注的物联网安全事件。

它受到关注，是因为导致了可感受的结果。首先是，“勾正数据服务”的相关APK（程序开发包）开发程度相当一般，优化过程的不足，导致它影响到用户的正常使用体验。在最早的曝光者那，就是因为“电视有点卡卡的”，才刺激了用户去抓包研究。

再者，相关APK的代码显示，勾正数据的做法简陋而野蛮。这项服务收集的IP、Mac、Hostname等信息，无疑是属于个人隐私数据的范畴。

仅以IP为例，由于公网IP的全球唯一性，一是可以定位到具体的使用人，二是理论上还可以确切定位到使用人地址。打个比方说，勾正数据的做法，就像在今天的“天网系统”下仍然当街抢劫的落伍悍匪。

如此看，勾正數据的野心之大，而手段之低，固然令人印象深刻。但在另一方面，更应该注意的是，如创维这样直接面对用户的品牌，在其中扮演的角色。

4月27日，在对该事件作出的回应中，创维表示，即刻中止了与勾正数据的合作，并强调称，创维在合作中只接受收视率调查相关的数据采集，对超过边界的其他数据采集均未授权，且不知情。

创维试图撇清责任的声明，可信任度并不高。仅在技术的方面而言，自动运行的相关APK是内置在电视系统内，相当于产品内部的一个零件，创维本身有义务进行安全性的审查，而非事发后一句“不知情”就能免责。

实际上，正因为相关APK内置在电视系统，才会获得用户的相当多授权，由此获得了方便法门。依旧用比喻说明，勾正数据是手法粗陋的“悍匪”，那么在这过程中，创维公司就是受邀进入了用户家中，却悄悄给“悍匪”开门的那个人。

创维和勾正数据的“明目张胆”，换来的是国内物联网安全“第一波舆情”，算得上种瓜得瓜、种豆得豆。而在这之前，以物联网、智慧屏、个性化定制的名义来张目的行径，总是披着“未来生活”和“高科技”的皮囊。

即便现在，创维电视的“监控”手法已被揭穿，但代码之中透露的违规行径，依然很难被普通用户们概念化地理解。

这是“未来生活”的一个黑暗侧面。物联网安全领域的畅销书《物联网设备安全》的作者Nitesh Dhanjani曾在书中表示，今天的我们对安全的认知，似乎仍停留在直观的损失，但是长期忽略隐形的、抽象的危机。

老问题和新问题

趋势是很明显的，现在，我们正从移动互联网时代过渡到物联网时代。物联网（Internet of Things），说的主要是物与物的连接。因而，如今面对的安全问题，也与过去的有所不同。

用比喻说明，勾正数据是手法粗陋的“悍匪”，那么在这过程中，创维公司就是受邀进入了用户家中，却悄悄给“悍匪”开门的那个人。

对于技术的升级，它即将带来的便利被广而告之，但在它之中蕴藏的风险，我们准备好了吗？

一个老问题是，网络的隐私泄露问题从未得到根本解决，它自移动互联网向物联网一脉相承，创维电视事件就是典型例子。事件曝光后，不乏声音在问：数据公司获取这么多数据，用途是什么？

有了互联网安全的前车之鉴，不难推测出一个用途：制作更全面的用户画像、精准营销。

从勾正数据的官网看，其主要业务之一，就是提供大屏广告营销的技术支持。大屏，是相对于手机的小屏幕而言，也就是说，家中的电视也成为广告商们的“猎物”之一。以当下手机应用的使用体验论，精准营销已是无处不在，而这一套，很可能无缝移植到个人用户的物联网设备。

那些听上去显得“赛博朋克”的场景，正在变得可执行：你家中的Wi-Fi下，电脑、手机显示你的生活习惯；智能电灯、窗帘的开合，记录你的作息规律；智能油烟机、空气炸锅和微波炉等等，清楚你的饮食习惯；智能手表和手环等等监视器，比你早一步预测到自己的健康状况……

接着有一天，你看到助眠药物的广告、外卖或食材推送的广告，如此等等的商品映入眼帘，你感到甚合心意。

以上的场景，听上去虽然异样，但似乎不是很坏。那么，再假设一下，如果这些设备的传感器故障了呢？或者，信息被收集的不完全、甚至是被篡改过的信息，由此导致了一连串的后果，这是完全有可能的。

随着大带宽的普及和5G技术的推广，物联网真正开始了大规模商用。在此背景下，一个新问题出现了—我们将越来越依赖互联网，现实与虚拟的界限被进一步打破，但是，此中的安全还无法确切保障。

我们知道，互联网和移动互联网，也是从此一路走来。虽然，网络安全至今仍被诟病，总有大规模的信息泄露事件发生，但国内的网络安全状况相比2016年前，现在已经完善不少。其中，起推动作用的是政策制定和民间的关注力量。

对一个软件的开发商而言，最重要的是功能实现，安全并不是一项“刚需”，并且成本高昂、需要时时维护。2016年以后，随着网络安全法等相关法律的研讨和出台，安全意识才走入国内大部分厂商的规划之内。

现在的问题是，物联网要走过这个阶段，需要的时间有多久？

更值得担忧的是，在物联网时代，设备变得更多、智能终端变得更小，“值守性小”，它们需要更高的安全成本。值守性是说，物联网的一个显著特性是，它们不像手机那样，被时刻放在使用者身边。物联网设备，如洗衣机、电冰箱、电饭煲，使用的频次有限，而一旦出现漏洞，发现时间长，造成的损失多，维护的成本也随之变大。

代码漏洞

從现实中看，解决网络带来的隐私和安全问题，当下仍然是一片胶着状态。尽管每年都有网络安全事件、隐私泄露事件，它们都引起了极大的关注，但违规行为的频次和规模，也渐渐令人产生麻木心理，似乎“牺牲自己的隐私”，是一个阶段的人们注定的境遇。

所谓“隐私换便利”“利大于弊”，在移动互联网时代，它们是技术进步论支持者的自我辩护理由。但在物联网时代，连这也变得不同了。

原因仍是在于，物联网对“网络”与现实之间界限的进一步击破。Nitesh Dhanjani在2017年提出过这样一些说法和场景：“利益大于风险”定式的关键是，过去互联网时代的风险几乎是看不到的，因为它们涉及的是信息和金钱。现在，假设这些后果在物联网时代存在，如城市陷入一片黑暗之中，医疗器械开始杀害患者，冰箱令食物变质，司机失去对汽车的控制能力……我们是否还会像现在这样容忍技术上的失败？

Nitesh Dhanjani诚然有些“先天下之忧而忧”，但他设想的场景，并非不能实现。

2018年，美国有“白帽黑客”试图入侵一款咖啡机。经过一周的测试发现，黑客可以遥控触发咖啡机，打开咖啡机的加热器，加水，旋转磨豆机，甚至显示赎金消息，同时反复发出哔哔声。

2020年，研究网络安全的组织Cyber News，决定做一件事“警告全球范围内的打印机所有者，加强打印机安全”。据称，研究人员使用物联网搜索引擎Shodan，搜索使用通用打印机端口和协议的开放设备。过滤掉大部分误报后，发现了80多万台打印机启用了网络打印功能，并且可以直接通过互联网进行访问。

物联网设备，如洗衣机、电冰箱、电饭煲，使用的频次有限，而一旦出现漏洞，发现时间长，造成的损失多，维护的成本也随之变大。

事实上，大多数人对电脑、手机的安全性很敏感，但对如打印机、咖啡机等等的物联网设备关注不足，而这，也就让物联网设备的安全性工作做得敷衍，非常容易被攻破。

根据securityaffairs（安全漏洞测试网站）的用户测试，日前，一款智能炸锅中发现了两个远程执行代码（RCE）漏洞：TALOS-2020-1216（CVE-2020-28592）和 TALOS-2020-1217（CVE-2020-28593）。

据披露，CVE-2020-28592是基于堆的缓冲区溢出漏洞，位于智能炸锅的配置服务器功能中。通过将包含特制JSON对象的数据包发送到设备，可以利用此漏洞。CVE-2020-28593是未经身份验证的后门，位于Cosori Smart 5.8-Quart空气炸锅CS158-AF 1.1.0的配置服务器功能，同样通过发送特质JSON对象的数据包进行利用。

简言之，漏洞使得攻击者可以成功接管设备并执行各种恶意行为。

入侵空气炸锅可以干什么？由于智能炸锅允许用户通过Wi-Fi控制设备、进行食谱查找和烹饪，因此攻击成功后，炸锅的温度、烹饪时间和相关设置可以被篡改，或是攻击者可以在受害者不知情的情况下启动炸锅。

所谓网络安全漏洞测试平台，是指“白帽黑客”们聚集的地方。他们经各种渠道和授权方式，利用安全工具找出网络漏洞，并将结果反馈给平台。同时，相关厂商也会受到平台的致信反馈，从而，厂商在“白帽黑客”帮助下修复漏洞。这个模式，在国内可追溯到现已关停的乌云网。

空气炸锅的漏洞，只是当下万物互联隐忧中的一例。在快节奏的互联网物联网发展中，如果沿用从前的野蛮生长路线，先发展后治理，那无疑会为将来埋下地雷。这一次，性命攸关。

值得一提的是，根据securityaffairs显示，截至目前，相关空气炸锅的供应商尚未修复漏洞，而由于已经超过了漏洞披露政策中90天的缓冲器，相关研究人员披露了这些漏洞。这一幕安全人员与厂商的博弈，似乎是过去互联网安全的故事再上演。