這些年，我們身邊的智能產(chǎn)品越來越多，手機、門鎖、音箱、電視、路由器、空調(diào)、洗衣機、電飯煲………恨不得連避孕套都要智能。

智能產(chǎn)品越來越多，安全問題也隨之而來。

接下來請聽題：

• 如果你看見新聞?wù)f “某某大賽上，某款智能設(shè)備被黑客破解”，而你恰好正在用這款產(chǎn)品，在經(jīng)濟允許的情況下，你會出于安全考慮而換掉它嗎?

這個問題還真就在我身上發(fā)生過。

前幾天，我去上海觀看“GeekPwn 2018 極棒破解大賽”，現(xiàn)場有位女黑客選手挑戰(zhàn) “破解四款主流智能門鎖”項目，成功了三款，失敗一款。但這不是重點，重點是：

我在臺下觀賽，發(fā)現(xiàn)有一款被成功破解的智能門鎖，長得跟我家的那把好像……

(現(xiàn)場的四個智能門鎖破解項目)

[[247971]]

我當(dāng)時閃出一個念頭：“要不……回北京后換掉家里那把鎖?”

身后有兩位觀眾也小聲聊起來。

左邊那位說：“你看這幾款智能門鎖都被破解了，以后誰還敢用這幾個牌子?誰用誰SB!”

我的心里咯噔一下。

右邊那位說：“照我說，智能門鎖根本就不靠譜，還是機械鎖安全!”

左邊那位說：“沒錯……”

我坐在前面聽得是一愣一愣的，總感覺哪里不對，卻又說不上來。

看完比賽，我又琢磨半天，想明白了。

• 一個產(chǎn)品被黑客公開破解過，說明它的安全性差。
• 一個產(chǎn)品被發(fā)現(xiàn)的漏洞越多，說明它的安全性越差。

這是大多數(shù)普通人的***反應(yīng)，很符合直覺。

但，它是錯的。

倘若一個產(chǎn)品被發(fā)現(xiàn)的漏洞越多，說明它安全性越差，照這個邏輯，蘋果的 iOS 系統(tǒng)、微軟的 Windows 系統(tǒng)、谷歌的 Android 系統(tǒng)都被公開破解過，并且這幾家公司都會定期發(fā)布補丁，修補一大堆安全漏洞，那他們的產(chǎn)品安全性豈不是都很差?

然而事實恰好相反，它們是全世界產(chǎn)品安全性做得***的一批公司。

所以，被曝出漏洞，以及漏洞的多少都無法說明一個產(chǎn)品的安全水平。

可能有讀者要問了：“既然如此，那什么指標(biāo)可以衡量一個產(chǎn)品的安全水平呢?”

嗯，這位讀者問得非常好!

衡量一個產(chǎn)品安全水平的指標(biāo)應(yīng)該是“破解它的難度”。道理很簡單，一個產(chǎn)品如果破解難度很高，那么它的安全性必然做的很好。

要得知一個產(chǎn)品的破解難度，有兩個辦法很簡單：

• 一是看漏洞的公開收購價，市場是***的衡量標(biāo)尺。

比如國外有個叫 Zerodium的“漏洞軍火商”，它的日常是公開收購常見系統(tǒng)、軟件的漏洞，倒賣給安全公司、政府以及其他不可描述的組織。

Zerodium 的漏洞價格表，基本可以用來衡量出一個產(chǎn)品的破解難度，即安全水平。

這里有一張移動軟件類的“懸賞報價單”，最左邊一排是價格，從一萬五到一百五十萬美元不等，其他是項目名稱：

(漏洞軍火商 Zerodium 的報價單)

可以看到，iPhone 漏洞分別以150萬美元和100萬美元的價格獨占前兩行(見圖片右上角)，這說明 iPhone 的破解難度(安全性)要高于其他軟件和系統(tǒng)。

我在這張價格表的第三行左側(cè)發(fā)現(xiàn)了微信，位于第三排，位置很靠上，這就說明微信的破解難度也很高，安全性不錯。

第二個方法是看各大黑客大會/破解大賽：

• 但凡出現(xiàn)在***黑客大會上的產(chǎn)品，即便被現(xiàn)場公開破解，安全性也一定不低。

因為只有當(dāng)一個產(chǎn)品的安全性足夠高，破解它的難度很大，黑客們才會公開展示破解以證明自己的實力。

反之，如果一個產(chǎn)品的安全性很差，破解難度很低，比賽方不會讓它上臺，因為不值得，黑客們壓根也不會拿出來展示，因為會在同行面前丟人 —— “就這你也好意思拿出來說?”

國外有個“Mobile Pwn2Own” 破解大賽，專門破解蘋果、三星、谷歌幾家公司的智能手機。

去年開始，華為也加入“被破解豪華午餐”，跟蘋果三星一起被選手們破解。但我并不會因為華為手機被破解而覺得它安全性差，相反，這恰恰說明華為手機的安全性可以跟蘋果、谷歌達到同一段位。

說回極棒破解大賽，每年選手們都會現(xiàn)場破解掉一大堆智能設(shè)備，極棒創(chuàng)始人“大牛蛙”王琦說， “安全研究人員跟廠商是‘好朋友’，希望幫助廠商修補漏洞，提高安全水準(zhǔn)。”

然而，有些廠商們似乎并不買賬。

每年都會有一些廠商帶著敵意跑來質(zhì)疑王琦，他們覺得黑客們公開破解他們家的東西“打他們的臉”。

有的廠商為了不當(dāng)眾“出丑”，居然還會派人在極棒現(xiàn)場盯著，一旦出現(xiàn)自家產(chǎn)品，立馬聯(lián)絡(luò)技術(shù)人員，不顧正常用戶，臨時關(guān)掉自家的服務(wù)器，讓選手們現(xiàn)場展示失敗，以此來防止“被公開打臉”。

可是，破解真的是打臉嗎?

廠商無非是擔(dān)心用戶得知自家產(chǎn)品被破解，質(zhì)疑產(chǎn)品的安全?？山裉煳蚁敫嬖V大家，被選手破解并不一定是一件丟人的事。

相反，能在一些網(wǎng)絡(luò)安全類的活動上被厲害的選手公開破解，恰恰說明這些產(chǎn)品的安全性做的不錯，破解的難度不小，所以才值得列為比賽項目。

廠商對“破解”這件事諱莫如深，其實也能理解，畢竟公眾對網(wǎng)絡(luò)安全的認(rèn)識和理解需要個過程。但不惜傷害用戶來維護所謂面子，不僅丟人還可恥。

從上海參加完極棒回到北京，我沒有換掉家里那把疑似被破解了的智能門鎖，因為我知道，正是因為它的破解難度不低，所以才會成為比賽項目。并且，一群專業(yè)安全研究員在幫我“檢驗”過它，這讓我很放心。

我還悄悄記下來了那個沒被破解成功的智能門鎖品牌名。

據(jù)現(xiàn)場裁判說，廠商當(dāng)時把服務(wù)器臨時關(guān)掉才導(dǎo)致的破解失敗。我把這家廠商拉進了我的購物黑名單，打算以后不碰他家產(chǎn)品。