安全研究人员发现,采用ZigBee协议的设备存在一个严重漏洞——黑客们有可能侵入你的智能家居,随意操控你的联网门锁、报警系统,甚至能够开关你的灯泡。
黑客入侵
拉斯维加斯的黑帽大会发布了一篇论文,指出ZigBee协议实施方法中的一个缺陷,该公司称该缺陷涉及多种类型的设备,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。
入侵智能家居设备?
“这个漏洞非常严重,因为该解决方案的安全性完全依赖于网络密钥的保密性。”
“对灯泡、动作传感器、温度传感器乃至门锁所做的测试还显示, 这些设备的供应商部署了最少数量的要求认证的功能。其它提高安全级别的选项没有部署,也没有开放给终端用户,”他们补充写道。
应用于各种场合的ZigBee无线模块
其实ZigBee提供了多重安全保障机制,就算是一般从事ZigBee协议应用的研发工程师,也很难入侵到ZigBee网络对连接的设备进行随意操作,这需要深入了解链路的底层并且清晰的知道每个协议部件工作流程的专家,在合适的时机下手,才可能成功,这估计只有原厂的哪个工作小组了,下面我们一起看看ZigBee提供了哪些保障:
1、 内部构造安全
ZigBee协议为了拥有一个安全的网络,首先所有的设备镜像的创建,必须将预处理安全标志位启用,设置一个默认的密码。这个默认的密码可以预先配置到网络上的每个设备或者只配置到协调器上,然后分发给假如网络的所有设备。注意,在以后的场合,这个密码将被分发到每一个加入网络当中的设备,因此,加入网络期间成为“瞬间的弱点”,但这往往在十几毫秒内完成。
2、 严格的网络访问控制
在一个安全的网络中,当一个设备加入网络时会被告知一个信任中心。信用中心拥有允许设备保留在网络或者拒绝网络访问这个设备的选择权。信任中心可以通过任何逻辑方法决定一个设备是否允许进入这个网络中。其中一种就是信任中心只允许一个设备在很短的窗口时间加入网络,这无法绕过使用者的许可过程。
3、应用数据安全
信任中心可以根据自己的判断更新网络密码。应用程序开发人员修改网络密码更新策略。默认信任中心执行能够用来符合开发人员的指定策略。一个样例策略将按照一定的间隔周期更新网络密码。另外一种将根据用户输入来更新网络密码。
对于高尖端的专业黑客,或许入侵智能家居设备还有胜算的可能,但对于一般使用者,这事情实在不好想象。再说,花如此大的力气,意义又何在呢?