標籤:

你用的智能設備遭黑客公開破解,你會換掉它嗎?

11-18

這些年,我們身邊的智能產品越來越多,手機、門鎖、音箱、電視、路由器、空調、洗衣機、電飯煲………恨不得連避孕套都要智能

(我去搜了一下,居然還真有……)

載入超時,點擊重試

智能產品越來越多,安全問題也隨之而來。

接下來請聽題:

如果你看見新聞說 「某某大賽上,某款智能設備被黑客破解」,而你恰好正在用這款產品,在經濟允許的情況下,你會出於安全考慮而換掉它嗎?

(淺友們投個票看看)

這個問題還真就在我身上發生過。

前幾天,我去上海觀看「GeekPwn 2018 極棒破解大賽」,現場有位女黑客選手挑戰 「破解四款主流智能門鎖」項目,成功了三款,失敗一款。但這不是重點,重點是:

我在台下觀賽,發現有一款被成功破解的智能門鎖,長得跟我家的那把好像……

(現場的四個智能門鎖破解項目)

我當時閃出一個念頭:「要不……回北京後換掉家裡那把鎖?

身後有兩位觀眾也小聲聊起來。

左邊那位說:「你看這幾款智能門鎖都被破解了,以後誰還敢用這幾個牌子?誰用誰SB!」

我的心裡咯噔一下。

右邊那位說:「照我說,智能門鎖根本就不靠譜,還是機械鎖安全!」

左邊那位說:「沒錯……」

我坐在前面聽得是一愣一愣的,總感覺哪裡不對,卻又說不上來。

看完比賽,我又琢磨半天,想明白了。

一個產品被黑客公開破解過,說明它的安全性差。

一個產品被發現的漏洞越多,說明它的安全性越差。

這是大多數普通人的第一反應,很符合直覺。

但,它是錯的。

倘若一個產品被發現的漏洞越多,說明它安全性越差,照這個邏輯,蘋果的 iOS 系統、微軟的 Windows 系統、谷歌的 Android 系統都被公開破解過,並且這幾家公司都會定期發布補丁,修補一大堆安全漏洞,那他們的產品安全性豈不是都很差?

然而事實恰好相反,它們是全世界產品安全性做得最好的一批公司。

所以,被曝出漏洞,以及漏洞的多少都無法說明一個產品的安全水平。

可能有讀者要問了:「既然如此,那什麼指標可以衡量一個產品的安全水平呢?」

嗯,這位讀者問得非常好!

衡量一個產品安全水平的指標應該是「破解它的難度」。道理很簡單,一個產品如果破解難度很高,那麼它的安全性必然做的很好。

要得知一個產品的破解難度,有兩個辦法很簡單:

一是看漏洞的公開收購價,市場是最好的衡量標尺。

比如國外有個叫 Zerodium的「漏洞軍火商」,它的日常是公開收購常見系統、軟體的漏洞,倒賣給安全公司、政府以及其他不可描述的組織。

Zerodium 的漏洞價格表,基本可以用來衡量出一個產品的破解難度,即安全水平。

這裡有一張移動軟體類的「懸賞報價單」,最左邊一排是價格,從一萬五到一百五十萬美元不等,其他是項目名稱:

(漏洞軍火商 Zerodium 的報價單,點看大圖)

可以看到,iPhone 漏洞分別以150萬美元和100萬美元的價格獨佔前兩行(見圖片右上角),這說明 iPhone 的破解難度(安全性)要高於其他軟體和系統。

我在這張價格表的第三行左側發現了微信,位於第三排,位置很靠上,這就說明微信的破解難度也很高,安全性不錯。

第二個方法是看各大黑客大會/破解大賽:

但凡出現在頂級黑客大會上的產品,即便被現場公開破解,安全性也一定不低。

因為只有當一個產品的安全性足夠高,破解它的難度很大,黑客們才會公開展示破解以證明自己的實力。

反之,如果一個產品的安全性很差,破解難度很低,比賽方不會讓它上台,因為不值得,黑客們壓根也不會拿出來展示,因為會在同行面前丟人 —— 「就這你也好意思拿出來說?」

國外有個「Mobile Pwn2Own」 破解大賽,專門破解蘋果、三星、谷歌幾家公司的智能手機。

去年開始,華為也加入「被破解豪華午餐」,跟蘋果三星一起被選手們破解。但我並不會因為華為手機被破解而覺得它安全性差,相反,這恰恰說明華為手機的安全性可以跟蘋果、谷歌達到同一段位。

說回極棒破解大賽,每年選手們都會現場破解掉一大堆智能設備,極棒創始人「大牛蛙」王琦說,「安全研究人員跟廠商是『好朋友』,希望幫助廠商修補漏洞,提高安全水準。」

然而,有些廠商們似乎並不買賬。

每年都會有一些廠商帶著敵意跑來質疑王琦,他們覺得黑客們公開破解他們家的東西「打他們的臉」。

有的廠商為了不當眾「出醜」,居然還會派人在極棒現場盯著,一旦出現自家產品,立馬聯絡技術人員,不顧正常用戶,臨時關掉自家的伺服器,讓選手們現場展示失敗,以此來防止「被公開打臉」。

可是,破解真的是打臉嗎?

廠商無非是擔心用戶得知自家產品被破解,質疑產品的安全。可今天我想告訴大家,被選手破解並不一定是一件丟人的事。

相反,能在一些網路安全類的活動上被厲害的選手公開破解,恰恰說明這些產品的安全性做的不錯,破解的難度不小,所以才值得列為比賽項目。

廠商對「破解」這件事諱莫如深,其實也能理解,畢竟公眾對網路安全的認識和理解需要個過程。但不惜傷害用戶來維護所謂面子,不僅丟人還可恥。

從上海參加完極棒回到北京,我沒有換掉家裡那把疑似被破解了的智能門鎖,因為我知道,正是因為它的破解難度不低,所以才會成為比賽項目。並且,一群專業安全研究員在幫我「檢驗」過它,這讓我很放心。

我還悄悄記下來了那個沒被破解成功的智能門鎖品牌名。

據現場裁判說,廠商當時把伺服器臨時關掉才導致的破解失敗。我把這家廠商拉進了我的購物黑名單,打算以後不碰他家產品。

最後再介紹一下我自己吧,我是謝幺,科技科普作者一枚,日常是把各路技術講得通俗有趣。想跟我做朋友,可以加我的個人微信:dexter0。不想走丟的話,請關注【淺黑科技】

推薦閱讀:

TAG:智能家居 | 智能設備 | 黑客(Hacker) |