新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > ZigBee應(yīng)用于智能家居是否存在嚴(yán)重漏洞?

ZigBee應(yīng)用于智能家居是否存在嚴(yán)重漏洞?

作者:周立功致遠(yuǎn)電子 時(shí)間:2015-08-29 來(lái)源:電子產(chǎn)品世界 收藏

  摘要:有關(guān)安全研究人員發(fā)現(xiàn),采用ZigBee協(xié)議的設(shè)備存在一個(gè)嚴(yán)重漏洞,你家的智能設(shè)備將隨意被控制??纯从袥](méi)這么神。

本文引用地址:http://butianyuan.cn/article/279444.htm

  智能家居網(wǎng)訊提到:安全研究人員發(fā)現(xiàn),采用ZigBee協(xié)議的設(shè)備存在一個(gè)嚴(yán)重漏洞——黑客們有可能侵入你的智能家居,隨意操控你的聯(lián)網(wǎng)門(mén)鎖、報(bào)警系統(tǒng),甚至能夠開(kāi)關(guān)你的燈泡。

  

圖片1.jpg

 

  圖1:黑客入侵

  拉斯維加斯的黑帽大會(huì)發(fā)布了一篇論文,指出 ZigBee 協(xié)議實(shí)施方法中的一個(gè)缺陷,該公司稱該缺陷涉及多種類(lèi)型的設(shè)備,黑客有可能以此危害 ZigBee 網(wǎng)絡(luò),并“接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)”。

  

圖片2.jpg

 

  圖2:入侵智能家居設(shè)備?

  “這個(gè)漏洞非常嚴(yán)重,因?yàn)樵摻鉀Q方案的安全性完全依賴于網(wǎng)絡(luò)密鑰的保密性。”

  “對(duì)燈泡、動(dòng)作傳感器、溫度傳感器乃至門(mén)鎖所做的測(cè)試還顯示, 這些設(shè)備的供應(yīng)商部署了最少數(shù)量的要求認(rèn)證的功能。其它提高安全級(jí)別的選項(xiàng)沒(méi)有部署,也沒(méi)有開(kāi)放給終端用戶,”他們補(bǔ)充寫(xiě)道。

  

圖片3.png

 

  圖3:應(yīng)用于各種場(chǎng)合的ZigBee無(wú)線模塊

  其實(shí)ZigBee提供了多重安全保障機(jī)制,就算是一般從事ZigBee協(xié)議應(yīng)用的研發(fā)工程師,也很難入侵到ZigBee網(wǎng)絡(luò)對(duì)連接的設(shè)備進(jìn)行隨意操作,這需要深入了解鏈路的底層并且清晰的知道每個(gè)協(xié)議部件工作流程的專家,在合適的時(shí)機(jī)下手,才可能成功,這估計(jì)只有原廠的哪個(gè)工作小組了,下面我們一起看看ZigBee提供了哪些保障:

  1、 內(nèi)部構(gòu)造安全

  ZigBee協(xié)議為了擁有一個(gè)安全的網(wǎng)絡(luò),首先所有的設(shè)備鏡像的創(chuàng)建,必須將預(yù)處理安全標(biāo)志位啟用,設(shè)置一個(gè)默認(rèn)的密碼。這個(gè)默認(rèn)的密碼可以預(yù)先配置到網(wǎng)絡(luò)上的每個(gè)設(shè)備或者只配置到協(xié)調(diào)器上,然后分發(fā)給假如網(wǎng)絡(luò)的所有設(shè)備。注意,在以后的場(chǎng)合,這個(gè)密碼將被分發(fā)到每一個(gè)加入網(wǎng)絡(luò)當(dāng)中的設(shè)備,因此,加入網(wǎng)絡(luò)期間成為“瞬間的弱點(diǎn)”,但這往往在十幾毫秒內(nèi)完成。

  2、 嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制

  在一個(gè)安全的網(wǎng)絡(luò)中,當(dāng)一個(gè)設(shè)備加入網(wǎng)絡(luò)時(shí)會(huì)被告知一個(gè)信任中心。信用中心擁有允許設(shè)備保留在網(wǎng)絡(luò)或者拒絕網(wǎng)絡(luò)訪問(wèn)這個(gè)設(shè)備的選擇權(quán)。信任中心可以通過(guò)任何邏輯方法決定一個(gè)設(shè)備是否允許進(jìn)入這個(gè)網(wǎng)絡(luò)中。其中一種就是信任中心只允許一個(gè)設(shè)備在很短的窗口時(shí)間加入網(wǎng)絡(luò),這無(wú)法繞過(guò)使用者的許可過(guò)程。

  3、應(yīng)用數(shù)據(jù)安全

  信任中心可以根據(jù)自己的判斷更新網(wǎng)絡(luò)密碼。應(yīng)用程序開(kāi)發(fā)人員修改網(wǎng)絡(luò)密碼更新策略。默認(rèn)信任中心執(zhí)行能夠用來(lái)符合開(kāi)發(fā)人員的指定策略。一個(gè)樣例策略將按照一定的間隔周期更新網(wǎng)絡(luò)密碼。另外一種將根據(jù)用戶輸入來(lái)更新網(wǎng)絡(luò)密碼。

  對(duì)于高尖端的專業(yè)黑客,或許入侵智能家居設(shè)備還有勝算的可能,但對(duì)于一般使用者,這事情實(shí)在不好想象。再說(shuō),花如此大的力氣,意義又何在呢?

關(guān)鍵詞: ZigBee 智能家居

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉