75%藍(lán)牙智能門鎖不安全,黑客可400米外解鎖

責(zé)任編輯:editor006

作者:李輝

2016-08-11 16:29:45

摘自:IT經(jīng)理網(wǎng)

藍(lán)牙智能門鎖是非常熱門的智能家居產(chǎn)品,“無鑰匙進(jìn)入”和“遠(yuǎn)程授權(quán)訪問”使藍(lán)牙智能門鎖將未來智能化生活中的場景帶到了現(xiàn)實(shí)。

藍(lán)牙智能門鎖

藍(lán)牙智能門鎖是非常熱門的智能家居產(chǎn)品,“無鑰匙進(jìn)入”和“遠(yuǎn)程授權(quán)訪問”使藍(lán)牙智能門鎖將未來智能化生活中的場景帶到了現(xiàn)實(shí)。蘋果公司的HomeKit、流行的短租網(wǎng)站Airbnb對(duì)藍(lán)牙智能門鎖的支持,更是讓這個(gè)產(chǎn)品在北美火速流行,品牌數(shù)量也迅速激增,功能賣點(diǎn)五花八門,讓消費(fèi)者挑選起來無所適從。

消費(fèi)者購買藍(lán)牙智能門鎖時(shí)最關(guān)心的一點(diǎn)無疑是安全性能,顏值情懷啥的暫時(shí)可以先放一邊,畢竟家門是人身和資產(chǎn)安全的最后一道物理防線,智能產(chǎn)品的便捷性和靈活性不能以犧牲安全性為代價(jià)。

但不幸的是,目前市場上大多數(shù)流行的藍(lán)牙智能門鎖黑客都可以在400米外輕松搞定。

在今年拉斯維加斯舉行的全球黑客大會(huì)DEF CON上,有兩個(gè)主題演講都與藍(lán)牙智能門鎖的安全性有關(guān),其中來自Merculite Security安全技術(shù)公司的兩位安全研究人員Anthony Rose和Ben Ramsey,輕松破解了16款市場主流藍(lán)牙智能門鎖中的12款,而他們使用的也不是什么高大上的安全設(shè)備,而是樹莓派、藍(lán)牙棒、高增益天線、Ubertooth One(一種開源的藍(lán)牙監(jiān)控開發(fā)平臺(tái))等網(wǎng)上唾手可得的便宜貨,加起來不到200美元。

藍(lán)牙智能門鎖攻擊工具

在被攻破的12個(gè)品牌藍(lán)牙智能門鎖產(chǎn)品中,Quicklock、iBluLock和Plantraco三家的安全性最為糟糕,居然使用明文發(fā)送密碼,任何手里有藍(lán)牙嗅探設(shè)備的黑客都能輕易獲得密碼,甚至用暴力破解也可以得手。而Geomate、Elecycle El797、Vians 和Lagute Sciener四個(gè)產(chǎn)品則在黑客的Replay回放攻擊中被破解,所謂回放攻擊就是在暗處嗅探合法用戶開鎖時(shí)的數(shù)據(jù),這種攻擊方法數(shù)十年來已經(jīng)被世界各地的竊賊廣泛應(yīng)用于停車場和車庫行竊中;剩余幾款鎖,包括宣稱采用了256位AES加密的Okidokey,都被黑客用模糊測(cè)試輕松搞定。

更糟糕的是,黑客聯(lián)系12家被破解的智能門鎖廠商,居然沒有一家回應(yīng),更不要說修補(bǔ)漏洞了。

只有Noke(掛鎖)、Masterlock(掛鎖)、August(門鎖)、Kwikset Levo(門鎖)四款藍(lán)牙智能門鎖(下圖)所經(jīng)受住了全球頂級(jí)黑客的攻擊。

藍(lán)牙智能門鎖安全性測(cè)試2

  這些未被破解的產(chǎn)品基本都具備以下四大安全特性:

采用了正確AES加密方式 真正的8-16位隨機(jī)數(shù) 兩步認(rèn)證 允許16-20位的長密碼

作為普通用戶,如果你想嘗鮮藍(lán)牙智能門鎖,千萬不要抱僥幸心理,指望竊賊不懂黑客知識(shí)“看不懂”您家的新裝備,要知道在網(wǎng)絡(luò)地下黑市已經(jīng)高度發(fā)達(dá)的今天,如果一種攻擊足夠有利可圖,廉價(jià)的攻擊工具和方法分分鐘就能流行起來。

AugustLock藍(lán)牙智能門鎖

如果您目前準(zhǔn)備入手藍(lán)牙智能門鎖,我們建議考慮August這款(上圖),目前公認(rèn)的最安全的藍(lán)牙智能門鎖,而且與蘋果Homekit整合,可以使用Siri遙控,面向未來的兼容性、擴(kuò)展性和功能性是目前最強(qiáng)的。雖然DEF CON另外一個(gè)黑客演講者利用August的漏洞完成了訪客的提權(quán)(已經(jīng)有訪客權(quán)限的基礎(chǔ)上提升為超級(jí)用戶,能夠修改門鎖設(shè)置),但是這種漏洞在現(xiàn)實(shí)生活中沒有什么實(shí)際威脅,誰沒事招黑客高手來家破解自己的門鎖,況且August的團(tuán)隊(duì)對(duì)待漏洞的態(tài)度非常坦誠積極,對(duì)于門鎖這種長周期產(chǎn)品來說,一個(gè)實(shí)事求是、與時(shí)俱進(jìn)的產(chǎn)品團(tuán)隊(duì)能給用戶更長久的安全感。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)