廉价的智能设备，可能用匪夷所思的方式伤害你 _智能设备

近年来随着物联网技术的成熟与发展，加之厂商建设自有生态链的意愿前所未有的攀升，越来越多的家居智能设备也已经开始走入千家万户。在这个过程中，一些价格极低、使用方法也相对简单的智能设备，很自然就成为了市场的宠儿与消费者的首选。
然而俗话说得好， “一分钱一分货” ，廉价设备必然在功能、工艺，及设计等方面有所取舍，这一点其实是大家都明白的事实。但除了这些方面的短板之外，对于智能设备来说，过于受限的成本有时候还可能会导致一些你根本想不到的问题。
近日，伦敦玛丽皇后大学与中国科学院共同公布了一则针对家用监控摄像头的安全性研究成果。他们发现，与过去认为“廉价摄像头可能会被黑客入侵”的情况不同，实际上不法分子如果真想利用家庭摄像头来做坏事，他们甚至根本就不需要那么麻烦的操作。

文章插图

首先，廉价安防摄像头普遍采用动态码率对拍摄到的内容进行视频编码，因此当画面中出现运动物体或更多的声音（比如房间里有人出现）时，所生成的视频瞬间数据量必然会比画面静止的时候更大。其次由于此类摄像头普遍采用“边拍摄边上传”的设计，因此安全人员发现，他们实际上既不需要真的入侵摄像头，也不用截流或者破解摄像头的上传数据，只需嗅探摄像头上传流量的大小变化，就能得到足够关键的个人信息。用伦敦玛丽皇后大学研究员Tyson的话来说， “他们（不法分子）会在很长一段时间内监视摄像头上传数据时的流量，并通过分析流量较大时的数据，来预测下周哪天有可能你不在家，然后上门去偷你的财物” 。
那么，为什么会产生这种现象呢？这位研究员在接受媒体采访时其实就说得非常清楚了。他表示， “现在的摄像头非常愚蠢，这和成本控制有关” 。

文章插图

是的，对比专业摄像头产品通常采用大容量本地存储（有时甚至是专用固态硬盘）的做法，如今的廉价家用安防摄像头往往并不具备本地存储配置。如此一来，要想实现诸如远程查看这样的“云服务”功能，将拍摄到的数据上传到远端服务器似乎就成了唯一的解决办法。与此同时，相对较低的研发成本也使得开发人员不会去思考一些更为稳妥的解决方案，比如此次研究团队提出的分时上传，或是在上传时填充混淆性的数据，使得外部无法嗅探到流量变化之类的做法。
简而言之，因为预算不足，所以研发人员不会去进行更深入的功能思考与细节优化；因为产品的定价不高，所以功能和配置上必然有所缩水。而以上两种因素的共同作用结果就产生了前文所述的那种，可以被不法人士轻松利用的安全漏洞。

文章插图

看到这里可能有的朋友会说，我知道廉价智能设备可能因为成本带来一些问题了，但既然问题曝光了，那么厂商只要能够及时通过软件进行BUG修正不就好了吗？
尽管理论上来说的确如此，但很可惜的是，根据德国弗劳恩霍夫通信研究所（FKIE）同样是在近日公布的一项研究显示。低价格所带来的影响，可能不仅仅体现在智能设备的研发与功能配置上，它同样也会影响产品后期维护和BUG修正的积极性。
弗劳恩霍夫通信研究所选取的研究对象并不是安防摄像头，而是更为常见的家用路由器产品。他们研究了包括华硕、网件、领势，以及TP-Link与D-Link在内，总共七家路由器厂商推出的多达127款产品。结果发现，有六分之一的路由器在过去的两年时间里没有得到任何安全补丁和系统更新，最糟糕的一款产品甚至使用了超过五年的时间，却从未得到过任何的后续更新服务。