随着包括汽车在内的物联网设备普及率日益提高,对于制造商而言,将这些产品抵御数字世界中潜伏的各类威胁,似乎理应成为一项明确的优先任务。然而,当汽车遭到黑客攻击导致车门无法解锁,或是家用宽带路由器沦为僵尸网络的“奴隶”时,整个安全局势便显得扑朔迷离起来。
但这究竟是为何?部分原因显而易见:企业倒闭或被收购,导致某些产品线被遗忘,彻底失去后续支持。与此同时,物联网领域的发展速度极快,以至于在当下,将产品尽快推向市场往往被视为比确保其安全性更为重要的任务。
正因如此,物联网领域如今已是漏洞丛生。那么,其安全的救赎究竟何在?是寄托于设备的制造商,还是其所有者?这个问题的答案,远非三言两语所能概括。
漏洞层出不穷
首先要明确一点:安全更新至关重要。在这个每季度发现的漏洞数量屡创新高的世界里(仅2025年第四季度就多达12,796个),每一处存在漏洞的软件或硬件都应及时打上补丁;否则,用户可能会泄露那些绝不希望落入恶意攻击者之手的机密数据。
研究人员发现,每四处高危漏洞中就有一处(占比25%)在发布后的短短一天内即遭到利用——这是一个令人震惊的数字,留给安全团队采取应对措施的时间已所剩无几。
据Forescout公司的数据显示,物联网(IoT)漏洞风险的平均值已从6.53飙升至9.1。在风险最高的10个国家(包括西班牙、英国和中国)中,这一数字实现了33%的同比增幅;其中,风险最高的设备类别包括:计算机(显而易见)、路由器(超过50%的路由器存在最严重的漏洞)、网络语音协议(VoIP)设备以及服务器。
不过,切勿误以为物联网安全仅仅是家庭层面的问题。鉴于路由器等网络接入点在企业环境中被广泛应用,加之手机、笔记本电脑、平板电脑及联网打印机等设备的大量普及,各类企业同样面临着潜在的安全威胁。
智慧城市:潜藏的危险暴露
如今,城市基础设施正变得遍布物联网(IoT)设备。相比于当下正在推行的种种举措,此前伦敦街头随处可见的监控摄像头所引发的隐私担忧,如今看来已是小巫见大巫。如今的摄像头利用人工智能(AI)技术识别居民身份;城市管理者正通过部署公共Wi-Fi热点来重塑公共空间的利用模式;公共交通工具上随处可见联网支付终端;此外还有更多举措正被推行,旨在全面提升公共服务质量及市民的生活水平。
然而,互联互通往往意味着信息暴露;因此,城市变得越“智慧”,其潜在的危险性也就可能越高。试想一下:一旦恶意攻击者获取了那些基于AI技术的监控摄像头权限——尤其是当这些摄像头的实时画面未经任何防护便直接暴露在互联网上时——他们将能够制造出何等严重的威胁?
处于险境的设备
鉴于这些设备伴随着如此高的风险,人们理所当然地认为它们应当受到妥善的保护——而在某些情况下,事实确实如此。特别是像苹果(Apple)或三星(Samsung)这类负责任的手机制造商,它们高度重视设备安全,并承诺提供多年的系统更新支持(事实上,2013年发布的 iPhone 5s 甚至在2026年仍接收到了安全更新!)。如今,谷歌(Google)也为其 Pixel 系列手机承诺提供长达七年的安全更新支持。
然而,手机仅仅是物联网(IoT)领域的一部分;而且,手机通常额外配备了安全模块或安全软件(例如适用于 Android 系统的 ESET Mobile Security),从而能够针对恶意应用程序等威胁提供多一层的防护。
相比之下,智能摄像头、智能门铃、智能音箱或智能家居中枢等设备,往往缺乏这样透明的更新政策,甚至无法获得持续、稳定的更新支持。针对各类智能设备的综合性安全解决方案也十分匮乏,仅有针对智能电视等少数类别的解决方案相对较为成熟或引人注目。归根结底,由于物联网电子设备的种类繁多且高度分散,其系统更新频率充其量只能用“参差不齐”来形容——而其安全记录的表现则往往更加糟糕。
值得特别关注的还有那些已停产或“遗留”(legacy)设备。尽管这些设备的销售期或官方更新支持期早已结束,但用户往往仍会继续使用它们。这与其说是制造商在关怀支持方面存在缺失,不如说更多是一个用户安全意识方面的问题(当然,其中也包含一些例外情况或“但书”,这一点我们稍后会详加探讨)。
让这些遗留设备处境雪上加霜的是,恶意攻击者极易利用其安全漏洞,对那些毫无防备的设备主人进行窥探与监视。
为何物联网设备如此脆弱?
让我们首先从那些“唾手可得”的显性问题入手——即前文所提及的那个“例外情况”:那些虽已停产却仍在被用户继续使用的设备。
从技术层面讲,没有任何法规强制要求制造商必须无限期地提供安全更新。毕竟,若要为数十甚至数百种不同的产品及产品系列持续维护所需的工具与技术知识,其所耗费的资金成本将是相当高昂的。
创新往往意味着高昂的投入,因此设备制造商必须在“维持现有产品的持续维护”与“投资新产品的研发”之间寻求平衡——在此过程中,它们往往会采取一种“试探性建议”的策略,通过各种方式引导或鼓励用户升级换代。与此同时,某些老旧设备之所以还能勉强维持运行,很大程度上要归功于开源社区开发者的不懈努力与无偿贡献。
此外,一家停止运营的公司几乎不可能继续提供更新,除非其潜在的继任者认为那些旧设备仍值得进行长期维护。
诚然,物联网设备(相对而言)的计算资源通常十分有限,因此它们很少能集成完善的安全防护机制。然而,所有这些因素加起来,都不能成为厂商缩短更新周期、更新推送不稳定,甚至要求用户手动“刷机”(这对于IT圈子以外的普通消费者来说,绝非习以为常的操作)的借口。将维护责任推卸给独立开发者和普通消费者,绝非一种有助于建立品牌信任的明智之举。
那些物联网更新究竟去了哪里?
另一个值得深思的问题是:即使相关的更新确实已经发布,用户想要找到它们也可能困难重重。当然,有些设备确实能够自动更新,无需用户进行任何手动操作;但鉴于这种自动更新机制有时也会失效,用户最好还是定期访问制造商的官方网站,查阅软件发布说明,以确认自己是否已获取并安装了最新的更新补丁。此外,每当选购物联网设备时,请务必提前做些功课,核实该设备预期的支持维护周期。毕竟,你肯定不希望自己的设备在仅仅使用了一年之后,就彻底失去安全防护。
天生缺乏安全保障
症结在于,对于物联网设备而言,安全防护往往被视为一种“事后补救”式的次要考量。制造商往往专注于提升产品的简洁性和易用性,同时竭力压缩成本;而提供持续性的技术支持,在他们看来可能只是一种徒增开支的“负担”,且投资回报率极低。既然可以通过搭载更先进的技术(当然,凡事皆有例外)并以更高的价格出售新款产品,又何必继续在旧款产品上投入资源呢?
不过,监管机构如今已开始对此予以关注。在欧盟内部,《NIS2指令》与《欧盟数据法案》正聚焦于网络安全相关议题,并呼吁各方加强数据风险管理。促成这一转变的部分原因,在于过去曾发生过一系列涉及物联网产品的重大安全事件——例如联网摄像头遭黑客入侵,导致黑客能够窥探普通民众的家庭隐私。
这些法规能否引发深远的变革?或许能吧。毕竟全球现存约150亿台物联网设备,而欧盟市场仅占其中的一小部分。尽管实现彻底变革的几率可能微乎其微,但或许“布鲁塞尔效应”(Brussels Effect)这一次也能在此领域发挥作用。
如何维护物联网(IoT)安全
物联网安全的维护工作主要涉及两个层面:
1.制造商:应提供清晰、透明的设备更新周期时间表,并着重向客户解释为何这些更新必不可少。这一举措应与高频率的更新发布以及简便的更新安装流程相辅相成。
2.消费者:应尽量选购符合上述所有标准的产品。重视安全信息的透明度与更新的及时性,能为您在日后省去许多不必要的麻烦。在条件允许的情况下,建议为智能电视、手机或电脑等设备部署额外的安全防护方案,从而构建一道更为坚固的安全防线,以应对潜在的风险与意外。
在这两者之间,政府监管有望填补必要的安全空白,或至少能促使制造商重新审视并提升其安全标准。尽管我们目前尚难奢望物联网安全维护水平能实现全行业的整体飞跃,但随着消费者对更安全设备的需求持续增长以及安全意识的不断提升,未来的局面仍有望朝着更好的方向转变。
参与评论 (0)