历史上的今天

今天是：2024年10月30日（星期三）

正在发生

安森美成功入选中国汽车新供应链百强榜单

2018年10月30日 | 你用的智能设备遭黑客公开破解，你会换掉它吗？

2018-10-30

这些年，我们身边的智能产品越来越多，手机、门锁、音箱、电视、路由器、空调、洗衣机、电饭煲………恨不得连避孕套都要智能。

（我去搜了一下，居然还真有……）

智能产品越来越多，安全问题也随之而来。

接下来请听题：

如果你看见新闻说 “某某大赛上，某款智能设备被黑客破解”，而你恰好正在用这款产品，在经济允许的情况下，你会出于安全考虑而换掉它吗？

（浅友们投个票看看）

这个问题还真就在我身上发生过。

前几天，我去上海观看“GeekPwn 2018 极棒破解大赛”，现场有位女黑客选手挑战 “破解四款主流智能门锁”项目，成功了三款，失败一款。但这不是重点，重点是：

我在台下观赛，发现有一款被成功破解的智能门锁，长得跟我家的那把好像……

（现场的四个智能门锁破解项目）

我当时闪出一个念头：“要不……回北京后换掉家里那把锁？”

身后有两位观众也小声聊起来。

左边那位说：“你看这几款智能门锁都被破解了，以后谁还敢用这几个牌子？谁用谁SB！”

我的心里咯噔一下。

右边那位说：“照我说，智能门锁根本就不靠谱，还是机械锁安全！”

左边那位说：“没错……”

我坐在前面听得是一愣一愣的，总感觉哪里不对，却又说不上来。

看完比赛，我又琢磨半天，想明白了。

一个产品被黑客公开破解过，说明它的安全性差。

一个产品被发现的漏洞越多，说明它的安全性越差。

这是大多数普通人的第一反应，很符合直觉。

但，它是错的。

倘若一个产品被发现的漏洞越多，说明它安全性越差，照这个逻辑，苹果的 iOS 系统、微软的 Windows 系统、谷歌的 Android 系统都被公开破解过，并且这几家公司都会定期发布补丁，修补一大堆安全漏洞，那他们的产品安全性岂不是都很差？

然而事实恰好相反，它们是全世界产品安全性做得最好的一批公司。

所以，被曝出漏洞，以及漏洞的多少都无法说明一个产品的安全水平。

可能有读者要问了：“既然如此，那什么指标可以衡量一个产品的安全水平呢？”

嗯，这位读者问得非常好！

衡量一个产品安全水平的指标应该是“破解它的难度”。道理很简单，一个产品如果破解难度很高，那么它的安全性必然做的很好。

要得知一个产品的破解难度，有两个办法很简单：

一是看漏洞的公开收购价，市场是最好的衡量标尺。

比如国外有个叫 Zerodium的“漏洞军火商”，它的日常是公开收购常见系统、软件的漏洞，倒卖给安全公司、政府以及其他不可描述的组织。

Zerodium 的漏洞价格表，基本可以用来衡量出一个产品的破解难度，即安全水平。

这里有一张移动软件类的“悬赏报价单”，最左边一排是价格，从一万五到一百五十万美元不等，其他是项目名称：

（漏洞军火商 Zerodium 的报价单，点看大图）

可以看到，iPhone 漏洞分别以150万美元和100万美元的价格独占前两行（见图片右上角），这说明 iPhone 的破解难度（安全性）要高于其他软件和系统。

我在这张价格表的第三行左侧发现了微信，位于第三排，位置很靠上，这就说明微信的破解难度也很高，安全性不错。

第二个方法是看各大黑客大会/破解大赛：

但凡出现在顶级黑客大会上的产品，即便被现场公开破解，安全性也一定不低。

因为只有当一个产品的安全性足够高，破解它的难度很大，黑客们才会公开展示破解以证明自己的实力。

反之，如果一个产品的安全性很差，破解难度很低，比赛方不会让它上台，因为不值得，黑客们压根也不会拿出来展示，因为会在同行面前丢人 —— “就这你也好意思拿出来说？”

国外有个“Mobile Pwn2Own” 破解大赛，专门破解苹果、三星、谷歌几家公司的智能手机。

去年开始，华为也加入“被破解豪华午餐”，跟苹果三星一起被选手们破解。但我并不会因为华为手机被破解而觉得它安全性差，相反，这恰恰说明华为手机的安全性可以跟苹果、谷歌达到同一段位。

说回极棒破解大赛，每年选手们都会现场破解掉一大堆智能设备，极棒创始人“大牛蛙”王琦说，“安全研究人员跟厂商是‘好朋友’，希望帮助厂商修补漏洞，提高安全水准。”

然而，有些厂商们似乎并不买账。

每年都会有一些厂商带着敌意跑来质疑王琦，他们觉得黑客们公开破解他们家的东西“打他们的脸”。

有的厂商为了不当众“出丑”，居然还会派人在极棒现场盯着，一旦出现自家产品，立马联络技术人员，不顾正常用户，临时关掉自家的服务器，让选手们现场展示失败，以此来防止“被公开打脸”。

可是，破解真的是打脸吗？

厂商无非是担心用户得知自家产品被破解，质疑产品的安全。可今天我想告诉大家，被选手破解并不一定是一件丢人的事。

相反，能在一些网络安全类的活动上被厉害的选手公开破解，恰恰说明这些产品的安全性做的不错，破解的难度不小，所以才值得列为比赛项目。

厂商对“破解”这件事讳莫如深，其实也能理解，毕竟公众对网络安全的认识和理解需要个过程。但不惜伤害用户来维护所谓面子，不仅丢人还可耻。

从上海参加完极棒回到北京，我没有换掉家里那把疑似被破解了的智能门锁，因为我知道，正是因为它的破解难度不低，所以才会成为比赛项目。并且，一群专业安全研究员在帮我“检验”过它，这让我很放心。

我还悄悄记下来了那个没被破解成功的智能门锁品牌名。

据现场裁判说，厂商当时把服务器临时关掉才导致的破解失败。我把这家厂商拉进了我的购物黑名单，打算以后不碰他家产品。

最后再介绍一下我自己吧，我是谢幺，科技科普作者一枚，日常是把各路技术讲得通俗有趣。想跟我做朋友，可以加我的个人微信：dexter0。不想走丢的话，请关注【浅黑科技】！（别忘了加星标哦）

智能设备黑客破解

上一篇:谷歌在默默研发交互式智能服饰，类似随身遥控器？

下一篇:智能指纹锁成智能家居入口或将引爆万亿市场