哪種無線通信協(xié)議最適合智能家居?ZigBee當仁不讓。近年來,為了爭奪潛力無限的智能家居市場,圍繞各類無線協(xié)議標準的爭論不斷,但不可否認,ZigBee賺足了眼球,頗受關注和信賴。在智能家居領域,相較于藍牙、WiFi、Z-Wave、射頻等技術協(xié)議,ZigBee一直光彩奪目,鮮有負面消息,可謂有口皆碑,深得人心,并被很多人默認為目前最適宜智能家居的協(xié)議標準。
而之所以如此,一方面與ZigBee協(xié)議本身分不開,另一方面則要感謝一些企業(yè)的大力熱捧和宣揚。
——技術層面,ZigBee不是為智能家居而生,卻為智能家居而長。智能家居設備需要擁有足夠的安全性、穩(wěn)定性、操作流暢性、較強的設備承載能力和較低的功耗,而ZigBee都能滿足,且滿足得很到位,因而即便ZigBee最初主要應用于工業(yè)領域,如今也絲毫不影響它在智能家居領域的魅力。
——推廣層面,不少知名企業(yè)紛紛采納,一些實力公司大力宣揚。如果說村里某些人使用ZigBee協(xié)議了,你可能嗤之以鼻,呵呵不語,更談不上信賴,但如果說三星、LG、德州儀器、羅技、飛利浦、小米等知名企業(yè)都采用了呢?對ZigBee會不會產生好感?不僅如此,一些企業(yè)的大力宣傳也很關鍵,如 ZigBee聯(lián)盟董事會成員、國內較早采用ZigBee的物聯(lián)網領軍企業(yè)物聯(lián)傳感在宣傳推廣方面會著重強調ZigBee的高級加密算法,使其安全性在消費者心中根深蒂固,為ZigBee樹立良好的口碑,從而推動ZigBee在中國區(qū)的發(fā)展。
所以,無論從哪個角度來看,ZigBee協(xié)議都有足夠的理由受到智能家居廠商的歡迎。然而,就在ZigBee聯(lián)盟宣布三星旗下品牌 SmartThings成為繼物聯(lián)傳感后又一位董事會成員之后不足一周,黑帽子大會給潑了一盆冷水,拔涼拔涼的冷水:采用 ZigBee 協(xié)議的智能家居設備存在嚴重漏洞。
話說安全研究人員(Cognosec公司)發(fā)現,采用ZigBee協(xié)議的設備存在嚴重漏洞,有多嚴重呢?黑客有可能入侵智能家居,隨意操控聯(lián)網門鎖、報警系統(tǒng),甚至能夠開關燈泡。按以往的新聞來看,這種事應該發(fā)生在WiFi、藍牙或Z-Wave身上,ZigBee怎么就中招了呢?這其中有 Cognosec公司和“小編”(原文作者)的功勞。
——黑帽子大會(Black Hat Conference)被公認為世界信息安全行業(yè)的最高盛會和最具技術性的信息安全會議,每年都會有不少專業(yè)團隊和民間高手參加。他們可以盡情地黑一切科技產品,無需手下留情,當然目的還是為了技術交流和提高企業(yè)產品的安全性。而Cognosec公司在這次大會上發(fā)表了論文,指出 ZigBee 協(xié)議實施方法中的一個缺陷。該公司稱,該缺陷涉及多種類型的設備,黑客有可能以此危害 ZigBee 網絡,并“接管該網絡內所有互聯(lián)設備的控制權”。
——若是Cognosec公司倒也不會如此,軍功章還有那篇文章作者的一大半,尤其是題目取的非常妙——《黑帽大會爆料,采用 ZigBee 協(xié)議的智能家居設備存在嚴重漏洞》(具體內容請自行百度腦補),讀者看不看內容沒有關系,只要看一眼標題就明白了:ZigBee智能家居設備存在嚴重漏洞。
ZigBee協(xié)議智能家居設備存在嚴重漏洞,看樣子ZigBee協(xié)議是難逃一劫了,但這種想法是“懶人”的想法,充分證明“標題黨”的勝利。向來較為可靠的ZigBee怎么存在嚴重問題呢?只看標題不行,關鍵還要仔細看內容。
顯而易見,標題就是會讓我們快速聯(lián)想到ZigBee協(xié)議有問題的,但實際完全沒有ZigBee協(xié)議太多啥事兒。這點原文作者和Cognosec公司實際上都在最后給出了說明。
“該漏洞的根源更多被指向制造商生產方便易用、能與其它聯(lián)網設備無縫協(xié)作的設備、同時又要壓低成本的壓力,而不是 ZigBee 協(xié)議標準本身的設計問題。”——這是作者的分析。
“我們在 ZigBee 中發(fā)現的短板和局限是由制造商造成的,各家公司都想制造最新最棒的產品,眼下也就意味著能夠聯(lián)網。燈泡開關這樣的簡單元件必須和其它各種設備兼容,毫不意外的是,很少會考慮安全要求——更多的心思都放在如何降低成本上。不幸的是,在無線通信標準中最后一層安全隱患的嚴重程度非常高。”——這是 Cognosec公司研究人員的漢化版原話。
其實,不難發(fā)現,向來可靠的智能家居協(xié)議ZigBee,并沒有給黑帽子黑掉,而是被一些急功近利的制造商“坑掉了”。那么現在問題又來了,除卻人為不作為因素(故意忽略標準安全性),ZigBee協(xié)議被攻破的幾率有多大呢?
在zigbee的通用安全級別中,一般有兩個key 。一個是信任中心的key。另一個是實際進行網絡傳輸數據時的網絡key。最終想破解zigbee 網絡,必須要獲取后者16個字節(jié)強密碼網絡key 。由于zigbee 采取的是AES 128加密算法。在不知道這個網絡key的情況下,想暴力破解目前沒有可能。也沒有破解先例。
暴力破解的速度是極其低下的。一般只有300key / s,就算采取所謂的GPU加速,速度也不過是10000 key / s,對于一個8位數字 字母 字符的復雜密碼破解時間都需要2900年!即使采用100臺分布式,也需要29年!
何況zigbee 的key 是16個字節(jié)強密碼。
上面是一名來自對ZigBee協(xié)議安全性擁有足夠信心的物聯(lián)傳感的物聯(lián)網安全專家給出的答案。不要問為什么是這樣排的,原采訪郵件中的內容就是這樣的,不過足可以說明只要前期工夫做的好,黑客想破解ZigBee智能家居設備,難!至于“采用 ZigBee 協(xié)議的智能家居設備存在嚴重漏洞”,有一個前提條件:制造廠商不負責或技術不到位。
最后一個問題。近日,國民新晉老公寧澤濤在第16屆游泳世錦賽奪冠了,項目是男子100米自由泳,創(chuàng)造了亞洲人神跡,突破了黃種人極限,影響力被認為堪比劉翔首奪110米跨欄。顯然,小鮮肉寧澤濤具備了100米自由泳奪冠能力,但是倘若給他安排80米的賽道,沒有奪冠,難道能說明他100米不行?
假如ZigBee有100的安全設置手法,一些廠商只用80或只能做到90,結果設備被破解了,就是ZigBee協(xié)議安全性就有問題?這答案或許與最后一個問題的答案類似吧。