作者／洪朝貴，朝陽科技大學資訊管理系副教授

從技術的角度來看，你可以說物聯網只不過是網際網路的延伸，只不過是讓更多內嵌了小電腦的家電、公共設施、交通工具、無人載具連上了網際網路。但是因為「可以內嵌小電腦」的這些東西，其差異性遠大於一般的桌機或筆電， 所以它們帶來很不一樣的問題。 所以本文想探討物聯網必須面對的資安挑戰。

你多久更新一次 3C 產品的軟體呢？

凡軟體皆有臭蟲，桌機或筆電出現普遍且重大的臭蟲時，媒體會報導，作者或公司會推出安全更新，用戶會有意識地更新軟體。不論是微軟、蘋果或是相對小眾但相對高安全意識的 Linux 用戶，絕大多數電腦用戶都有安裝安全更新的經驗，但是物聯網上的這些裝置很不一樣，他們的韌體（Firmware，也就是內建在硬體中的軟體）更新的頻率很低，甚至一輩子不會更新。

觀察介於兩者之間的手機市場，或許可以得到一些啟發。以 Android 手機為例，盡管更新出現時，廠商會催促並且幫你的手機 「一鍵更新」，但 CMU 研究仍舊顯示：約九成的 Android 手機曝露在重大風險當中。其中 Google 的 Nexus 用戶手中產品的安全更新相對較迅速，其次是 LG，其他大廠的得分都不理想，小廠得分更低。為什麼從發現問題到安全更新進到用戶手中，會有如此的時間差呢？學者表示：「Android 的資安問題有點像檸檬市場， 生產商跟消費者之間資訊不對稱，前者知道資安危機，但後者不知道，所以生產商欠缺迅速更新的動機。」

這裡的重點並不是 Android 不安全，第一個重點是：「廠商關心用戶體驗，特別是便利，更勝過用戶安全。」就像 蘋果推動有利監控，卻不利保護隱私的指紋解鎖，微軟拿掉 Office 巨集安全性提醒，廠商很自然地會把有限的資源優先投入於能讓產品光鮮亮麗，讓用戶有立即感受的面向，而絕大多數用戶關心便利更勝過資安。越小的廠商，這種傾向可能越嚴重，因為大廠至少還比較需要維護自身的資安形象。反過來說，因為自由軟體社群關心安全更勝過便利，所以也造成了 「Linux 難用」 的印象。

再來第二個重點，如果沒有給用戶一些壓力，就算廠商已推出安全更新，用戶還不一定會安裝。而用戶不願意更新，也是有道理的，他不知道哪些是非做不可的安全更新？哪些更新則是要讓廣告更容易入侵他的手機？或者讓 Google 更方便追蹤他的一舉一動？更或是 讓蘋果協助公司網管或美國政府入侵並掌管你的手機。所以很多用戶，特別是相對較有資安意識的用戶，會拒絕盲目手機韌體更新。

物聯網的資安憂慮

從上述的兩個問題帶到物聯網市場，更是雪上加霜，物聯網的市場多元，從市場競爭的角度來看這是好事，但從工程師要推出產品安全更新並且佈署到用戶手上的觀點來看，這完全是一場惡夢。所以很多小廠會選擇不要作夢比較實在，反正用戶也不會知道更不會關心。再來，物聯網上的多數裝置，操作選項與複雜度當然遠比手機更少，人跟它接觸的時間也更少，有些甚至完全不需要使用者察覺它的存在，所以更難提醒，也更難說服用戶做安全更新。更有甚者，這些裝置很可能比手機鎖得更死，即使用戶自己努力去找來安全更新，他甚至可能不被允許。例如：你家的 IP 分享器最近一次更新韌體是什麼時候呢？我所使用的絕大多數分享器都不支援 OpenWrt，所以就算 OpenWrt 推出比廠商更新的韌體，我也沒辦法享用。它還是你我最有資安危機感，最原始的物聯網裝置呢！

資安專家也是自由軟體基金會理事 Matthew Garrett 在倫敦一家旅館住宿時觀察： 為什麼電燈要用 Android 平板來控制啊？是嫌傳統開關不夠時尚嗎？於是他把自己的筆電加入旅館房間的智慧家電網路，用電腦開關電燈、電視， 甚至可以拉動窗廉。但是… 「我的房號是 714， 而我剛剛透過 172.16.207.14 的 IP 在控制我的房間。 不會吧…？」 對， 真的就是這樣： 不需要密碼， 他就可以查看指定房號房間內的電燈開關狀態，只是他不好意思進一步實驗在半夜三點把別人房間的電燈跟窗簾打開。

也許你會想：「還好我沒有急著在家裡導入智慧家電！」 ，但或許你的汽車已經開始智慧了呢？事實上比智慧汽車更早一代的 「免鑰匙啟動」 技術，可能已成為無所不在的物聯網的第一個重大受害者。 中繼攻擊不需要偷密碼，適用於絕大多數廠牌的汽車。如果你停好車進餐廳吃飯，吃完飯卻發現車子被開走，那麼第一件事情應該要先看一下身邊有誰很關注你離開座位。他口袋裡或許有一部錄製並且傳送你的鑰匙訊號的機器，透過網路幫助那位正在開你車的同夥向你的汽車證明鑰匙就在車上。但也可能他並沒有同夥，而是你身上的運動手環被動過手腳了。 （近未來現實科幻小說梗）

凡是資訊產品就會有資安問題

資安專家 Bruce Schneier 說過： 「Security is a process, not a product. 」，沒有哪一套軟硬體或哪一家公司的產品可以免於資安問題，但是不同類型的產品其資安風險可能很不一樣。社群文化、使用方式、 … 等等非技術因素也會影響資安問題的嚴重性，其中物聯網的資安問題特別嚴重，像是沒有設置密碼，也沒有其他防護措施，連網路攝影機這種相對有感的裝置都很難引起用戶注意了，更何況物聯網裡的其他多數裝置，比電腦手機攝影機更加不容易喚醒用戶的資安意識，但卻又比電腦手機更常以很不顯眼的方式跟用戶隔空接觸， 所以這個問題也更加棘手。很多懂技術的人稱之為「Internet of Broken Things」。

想要阻擋 IoT 浪潮是不可能的，那麼該如何處理資安問題？各方其實都還在摸索解決方法中，但是用戶端的問題較為顯著，也許各大學可以開設一些 「物聯網資訊安全」 之類的通識課程，這也可以順便減緩 「資訊科技越來越重要，但資訊科系卻越來越不受歡迎」 的教師超額壓力，不過先講好，還在教 Adobe 產品 的老師們是沒資格來教這門課的。

（本文授權轉載自： 資訊人權貴ㄓ疑：危物聯網）