作者：Jean-Louis Gasse 法國(guó)巴黎人，曾于1980年代擔(dān)任Apple歐洲營(yíng)運(yùn)負(fù)責(zé)人、以及Mac計(jì)算機(jī)開發(fā)主管;之后創(chuàng)立Be公司，旗下產(chǎn)品BeOS曾傳出將為Apple所并購(gòu)，并成為后來的Mac OS X，但后來并未實(shí)現(xiàn)。之后亦曾任職于PalmSource，目前為Allegis Capital投資公司合伙人。

智能手機(jī)的崛起有個(gè)副作用，就是造就了一個(gè)豐富(但廉價(jià))的功能模塊生態(tài)系。這些模塊在信息安全方面都不是很理想，而如果輕率的將這些模塊拼成一些廉價(jià)裝置，將可能會(huì)對(duì)市場(chǎng)帶來負(fù)面的影響。

事實(shí)上，這個(gè)問題已經(jīng)在發(fā)生之中。

從前自己組，現(xiàn)在別人幫你組。你放心嗎?

從前，如果你想自己組裝一部計(jì)算機(jī)，通常必須從走一趟東京秋葉原之類的地方開始。因?yàn)檫@類市場(chǎng)里有任何想象得到的零組件，從電阻到主板，真空管到黑膠唱片用的唱針應(yīng)有盡有;如果需要的話還可以順道買個(gè)按摩器之類的東西。

你只要帶支螺絲起子，就可以把機(jī)殼、電源供應(yīng)器、主板、超頻處理器、水冷裝置、風(fēng)扇、霓虹燈之類有用沒用的東西組起來。對(duì)于PC來說，這類市場(chǎng)就像是個(gè)器官銀行一樣。

現(xiàn)在，或許從頭自己組PC的人沒有以前多了，但有許多人又在瘋另外一種東西：IoT(物聯(lián)網(wǎng))。如果你也覺得這些東西有前途，也可以開一家公司來賣自己組出來的監(jiān)視攝影機(jī)、嬰兒監(jiān)控裝置、或是智能型烤面包機(jī)等等。

如果你想要找個(gè)地方，既可以看看別人做了些什么，又可以找到零組件、設(shè)計(jì)師、代工廠和相關(guān)的報(bào)價(jià)，最好的去處莫過于中國(guó)深圳的華強(qiáng)北一帶;那里不只是著名的鴻海富士康大本營(yíng)，也是全球最大的傳感器、攝影鏡頭、GPS衛(wèi)星定位、以及(最重要的)無線傳輸?shù)饶K集散中心。

在研發(fā)上省下來的錢，終究還是得用在打品牌上。

你的第一步可以從買一套聯(lián)發(fā)科(Mediatek)或類似廠商的單芯片系統(tǒng)開始;這里面可能包括一顆ARM處理器、精簡(jiǎn)版的Linux軟件引擎、以及有線或無線連網(wǎng)模塊。只要再加上鏡頭、傳感器、還有驅(qū)動(dòng)程序，然后找一家代工組裝廠，貴公司的專屬自有品牌安全監(jiān)視攝影機(jī)就可以上市了。

但是，這樣做出來的產(chǎn)品通常都跟別人家的差不多;你在研發(fā)上省下來的錢，終究還是得用在打品牌上，還得說服財(cái)迷心竅的通路賣你的產(chǎn)品、靠寫開箱文賺錢的部落客愿意幫你開箱……。

誰說消費(fèi)性電子產(chǎn)品生意好做的?

如果你的產(chǎn)品失敗了，只有投資人和同事會(huì)傷心而已;但如果你成功了，恭喜，但后面的麻煩才正要開始而已。

你能，別人也能。你放心嗎?

賣你模塊的供貨商，可能也同時(shí)賣了幾百萬個(gè)一樣的東西給你的競(jìng)爭(zhēng)對(duì)手、或是其他一樣做著物聯(lián)網(wǎng)IoT產(chǎn)品夢(mèng)的創(chuàng)業(yè)者，像是做智能錄像機(jī)的、智能鎖的、智能天氣站的、智能家居照明系統(tǒng)的等等。

而這些產(chǎn)品的銷售對(duì)象，通常是對(duì)科技不熟的家庭用戶;他們不知道軟件或固件是可以升級(jí)的，忘了賬號(hào)密碼更是家常便飯。

各家廠商都很聰明，多半會(huì)幫產(chǎn)品留一道“后門”。

幸好各家廠商都很聰明，多半會(huì)幫產(chǎn)品留一道“后門”，讓客服人員可以用這組通用的賬號(hào)密碼來遠(yuǎn)程解鎖，毫不費(fèi)力的幫顧客解決燃眉之急。

這一點(diǎn)你(現(xiàn)在)知道、廠商知道、當(dāng)然技藝高超的黑客們也會(huì)知道。只要利用最常見的Linux解譯工具，他們就可以輕松檢視這些設(shè)備中的嵌入式系統(tǒng)，然后找到這組便利的后門賬號(hào)密碼，把這些偷懶廠商做的設(shè)備統(tǒng)統(tǒng)解開。

大軍壓境

這時(shí)候，已經(jīng)登堂入室的黑客們就可以搞更多花樣了：例如上傳一些軟件，把無辜的智能型影機(jī)等設(shè)備們征召入伍，變成阻斷服務(wù)攻擊(Denial-of-Service，DoS)大軍的成員，再用來攻擊特定網(wǎng)站，讓網(wǎng)站因?yàn)楸宦?lián)機(jī)塞爆而無法運(yùn)作。

這些黑客的攻擊目標(biāo)，通常不會(huì)是設(shè)備的用戶本身，而是(例如)立場(chǎng)跟他們不合的網(wǎng)站;甚至有越來越多的人透過這種方式來“綁架”特定網(wǎng)站，并且勒索贖金。

尤有甚者，還有一些大規(guī)模攻擊是針對(duì)DNS之類的網(wǎng)絡(luò)基本架構(gòu)服務(wù)進(jìn)行;DNS(Domain Name Service/Server，域名服務(wù)/服務(wù)器)的主要功能，在于將“example.com”之類的域名轉(zhuǎn)換成像是“93.184.216.34”的IP地址。

就在前幾天，服務(wù)商Dyn就遭到了大規(guī)模的阻斷攻擊，導(dǎo)致美國(guó)東岸的Twitter、Netflix、甚至紐約時(shí)報(bào)等媒體網(wǎng)站斷線;沒有人知道主使者是誰、或是為了什么目的，但是這種事情的發(fā)生很令人擔(dān)憂：如果下一次攻擊是沖著電力或運(yùn)輸網(wǎng)絡(luò)而來怎么辦?如果整個(gè)通訊系統(tǒng)都斷了怎么辦?

我們也不知道怎么辦。但我們知道，如果網(wǎng)絡(luò)是如此的脆弱，再加上這些廉價(jià)的物聯(lián)網(wǎng)IoT產(chǎn)品、以及它們被蒙在鼓里的主人，往后可能會(huì)發(fā)生的威脅是我們所想不到的。

　　來自生態(tài)系的入侵

而這樣的威脅，也可以說是智能手機(jī)風(fēng)潮的副產(chǎn)品：上億支的手機(jī)產(chǎn)品，創(chuàng)造了一個(gè)由零組件、制造商、以及經(jīng)銷商所組成，而且競(jìng)爭(zhēng)激烈無比的生態(tài)系。為了競(jìng)爭(zhēng)，有許多人會(huì)偷懶、抄近路，導(dǎo)致難以數(shù)計(jì)的“危險(xiǎn)”設(shè)備暴露在網(wǎng)絡(luò)上。

有誰會(huì)想到，有一天連保安攝影機(jī)都會(huì)被入侵，反而變成最不安全的東西?

如果這一點(diǎn)聽起來有點(diǎn)太夸張，這里可以提供一個(gè)故事給您參考：有許多聯(lián)機(jī)裝置(包括常見的飛利浦Hue智能燈泡)都使用了一個(gè)叫做ZigBee的通訊協(xié)議，而這個(gè)協(xié)定最近才被發(fā)現(xiàn)有安全漏洞。

最近的一篇紐約時(shí)報(bào)文章，就描述了研究人員如何找出破解ZigBee網(wǎng)絡(luò)的方式，并且“攻占”了整個(gè)照明系統(tǒng)、以及使用同一協(xié)議來聯(lián)機(jī)的裝置。

我們也相信，消費(fèi)等級(jí)的物聯(lián)網(wǎng)IoT產(chǎn)品必定會(huì)流行起來，但這個(gè)流行風(fēng)潮也可能帶來一些問題，也少不了覬覦這些設(shè)備漏洞的有心人士。所以，制造這些設(shè)備的廠商都必須正視這個(gè)問題、并且負(fù)起應(yīng)有的責(zé)任;而消費(fèi)者也必須先做點(diǎn)功課，了解哪些廠商在安全和隱私方面真的下過功夫，再用實(shí)際的購(gòu)買行為來鼓勵(lì)它們的貼心。