隨著智能設(shè)備不斷浸透到我們生活的方方面面,這些漏洞對(duì)數(shù)字世界甚至現(xiàn)實(shí)生活的安全影響變得越來(lái)越明顯,藍(lán)牙鎖就是這樣一個(gè)例子。
藍(lán)牙低能耗(藍(lán)牙4.0)是目前領(lǐng)先的無(wú)線傳輸技術(shù),它被廣泛用于物聯(lián)網(wǎng)設(shè)備、醫(yī)療設(shè)備、智能家居,如同其他許多新興技術(shù)一樣,都是先被廣泛應(yīng)用,然后才回過(guò)頭來(lái)考慮安全問(wèn)題。
藍(lán)牙鎖是一種非常方便的通過(guò)數(shù)字密鑰實(shí)現(xiàn)的授權(quán)方式,但問(wèn)題在于,幾乎所有的藍(lán)牙鎖都存在漏洞!在今年美國(guó)舉辦的的DEF CON 黑客大會(huì)上就涌現(xiàn)了一波對(duì)物聯(lián)網(wǎng)設(shè)備的破解技術(shù),對(duì)藍(lán)牙鎖的破解方法更是出現(xiàn)了不止一種。
此外,不少安全文章和科技報(bào)道的相關(guān)文章都表明,高達(dá)75%的此類安全鎖可以被輕易的破解。甚至有的藍(lán)牙鎖聲稱自己非常安全,結(jié)果用一個(gè)螺絲刀就能輕易解開。
如何破解藍(lán)牙鎖
相關(guān)研究人員通過(guò)聯(lián)系了生產(chǎn)廠商,對(duì)該類事件進(jìn)行了充分調(diào)研,發(fā)現(xiàn)問(wèn)題主要集中在這幾類:
1.尋找明文密碼:許多藍(lán)牙鎖有密碼,卻使用了明文傳輸,任何人只要有一個(gè)簡(jiǎn)單的藍(lán)牙探測(cè)器,比如Ubertooth,不用花費(fèi)太多精力就能搞到密碼。
2.重放信號(hào):盡管可以把信號(hào)進(jìn)行了高強(qiáng)度加密,攻擊者不太可能解開信號(hào)內(nèi)容,但是只需要將你發(fā)送的解鎖信號(hào)進(jìn)行攔截并且重放給鎖,門同樣可以打開。
3.中間人攻擊:攻擊者處在你的通信鏈接的中間,監(jiān)控著你和設(shè)備之間的所有通信。從而獲取所有你發(fā)送給設(shè)備的命令,比如“鎖定”指令。
不幸中的萬(wàn)幸,目前已經(jīng)有相關(guān)的措施來(lái)檢測(cè)以上攻擊行為,但問(wèn)題就在于目前并不是每一個(gè)鎖都會(huì)做了此類安全防范措施。
本文旨在給那些購(gòu)買了廉價(jià)藍(lán)牙鎖設(shè)備的人一些警示,因?yàn)檫@些攻擊可能真的會(huì)導(dǎo)致一些安全事故的發(fā)生。
更值得注意的是,藍(lán)牙鎖并不是唯一被證明脆弱不堪的設(shè)備。智能汽車、智能水壺、咖啡機(jī)、醫(yī)療設(shè)備、健身追蹤器等等都曾經(jīng)出現(xiàn)過(guò)破解方法,這些設(shè)備的安全性同樣值得關(guān)注。