《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > ZigBee應(yīng)用于智能家居是否存在嚴重漏洞?

ZigBee應(yīng)用于智能家居是否存在嚴重漏洞?

2015-08-28
作者:周立功致遠電子

       摘要:有關(guān)安全研究人員發(fā)現(xiàn),采用ZigBee協(xié)議的設(shè)備存在一個嚴重漏洞,你家的智能設(shè)備將隨意被控制??纯从袥]這么神。

       智能家居網(wǎng)訊提到:安全研究人員發(fā)現(xiàn),采用ZigBee協(xié)議的設(shè)備存在一個嚴重漏洞——黑客們有可能侵入你的智能家居,隨意操控你的聯(lián)網(wǎng)門鎖、報警系統(tǒng),甚至能夠開關(guān)你的燈泡。

圖片1.jpg

                       圖1:黑客入侵

       拉斯維加斯的黑帽大會發(fā)布了一篇論文,指出 ZigBee 協(xié)議實施方法中的一個缺陷,該公司稱該缺陷涉及多種類型的設(shè)備,黑客有可能以此危害 ZigBee 網(wǎng)絡(luò),并“接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)”。

圖片2.jpg

                圖2:入侵智能家居設(shè)備?

       “這個漏洞非常嚴重,因為該解決方案的安全性完全依賴于網(wǎng)絡(luò)密鑰的保密性?!?/p>

       “對燈泡、動作傳感器、溫度傳感器乃至門鎖所做的測試還顯示, 這些設(shè)備的供應(yīng)商部署了最少數(shù)量的要求認證的功能。其它提高安全級別的選項沒有部署,也沒有開放給終端用戶,”他們補充寫道。

圖片3.png

             圖3:應(yīng)用于各種場合的ZigBee無線模塊

       其實ZigBee提供了多重安全保障機制,就算是一般從事ZigBee協(xié)議應(yīng)用的研發(fā)工程師,也很難入侵到ZigBee網(wǎng)絡(luò)對連接的設(shè)備進行隨意操作,這需要深入了解鏈路的底層并且清晰的知道每個協(xié)議部件工作流程的專家,在合適的時機下手,才可能成功,這估計只有原廠的哪個工作小組了,下面我們一起看看ZigBee提供了哪些保障:

1、 內(nèi)部構(gòu)造安全

       ZigBee協(xié)議為了擁有一個安全的網(wǎng)絡(luò),首先所有的設(shè)備鏡像的創(chuàng)建,必須將預(yù)處理安全標志位啟用,設(shè)置一個默認的密碼。這個默認的密碼可以預(yù)先配置到網(wǎng)絡(luò)上的每個設(shè)備或者只配置到協(xié)調(diào)器上,然后分發(fā)給假如網(wǎng)絡(luò)的所有設(shè)備。注意,在以后的場合,這個密碼將被分發(fā)到每一個加入網(wǎng)絡(luò)當中的設(shè)備,因此,加入網(wǎng)絡(luò)期間成為“瞬間的弱點”,但這往往在十幾毫秒內(nèi)完成。

2、 嚴格的網(wǎng)絡(luò)訪問控制

       在一個安全的網(wǎng)絡(luò)中,當一個設(shè)備加入網(wǎng)絡(luò)時會被告知一個信任中心。信用中心擁有允許設(shè)備保留在網(wǎng)絡(luò)或者拒絕網(wǎng)絡(luò)訪問這個設(shè)備的選擇權(quán)。信任中心可以通過任何邏輯方法決定一個設(shè)備是否允許進入這個網(wǎng)絡(luò)中。其中一種就是信任中心只允許一個設(shè)備在很短的窗口時間加入網(wǎng)絡(luò),這無法繞過使用者的許可過程。

3、應(yīng)用數(shù)據(jù)安全

       信任中心可以根據(jù)自己的判斷更新網(wǎng)絡(luò)密碼。應(yīng)用程序開發(fā)人員修改網(wǎng)絡(luò)密碼更新策略。默認信任中心執(zhí)行能夠用來符合開發(fā)人員的指定策略。一個樣例策略將按照一定的間隔周期更新網(wǎng)絡(luò)密碼。另外一種將根據(jù)用戶輸入來更新網(wǎng)絡(luò)密碼。

對于高尖端的專業(yè)黑客,或許入侵智能家居設(shè)備還有勝算的可能,但對于一般使用者,這事情實在不好想象。再說,花如此大的力氣,意義又何在呢?


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。