【導讀】安全研究人員發現,采用ZigBee協議的設備存在一個嚴重漏洞——黑客們有可能侵入你的智能家居,隨意操控你的聯網門鎖、報警系統,甚至能夠開關你的燈泡。該怎么辦呢?
圖1:黑客入侵
拉斯維加斯的黑帽大會發布了一篇論文,指出ZigBee協議實施方法中的一個缺陷,該公司稱該缺陷涉及多種類型的設備,黑客有可能以此危害ZigBee網絡,并“接管該網絡內所有互聯設備的控制權”。
圖2:入侵智能家居設備?
“這個漏洞非常嚴重,因為該解決方案的安全性完全依賴于網絡密鑰的保密性。”
“對燈泡、動作傳感器、溫度傳感器乃至門鎖所做的測試還顯示, 這些設備的供應商部署了最少數量的要求認證的功能。其它提高安全級別的選項沒有部署,也沒有開放給終端用戶,”他們補充寫道。
圖3:應用于各種場合的ZigBee無線模塊
其實ZigBee提供了多重安全保障機制,就算是一般從事ZigBee協議應用的研發工程師,也很難入侵到ZigBee網絡對連接的設備進行隨意操作,這需要深入了解鏈路的底層并且清晰的知道每個協議部件工作流程的專家,在合適的時機下手,才可能成功,這估計只有原廠的哪個工作小組了,下面我們一起看看ZigBee提供了哪些保障:
1、 內部構造安全
ZigBee協議為了擁有一個安全的網絡,首先所有的設備鏡像的創建,必須將預處理安全標志位啟用,設置一個默認的密碼。這個默認的密碼可以預先配置到網絡上的每個設備或者只配置到協調器上,然后分發給假如網絡的所有設備。注意,在以后的場合,這個密碼將被分發到每一個加入網絡當中的設備,因此,加入網絡期間成為“瞬間的弱點”,但這往往在十幾毫秒內完成。
2、 嚴格的網絡訪問控制
在一個安全的網絡中,當一個設備加入網絡時會被告知一個信任中心。信用中心擁有允許設備保留在網絡或者拒絕網絡訪問這個設備的選擇權。信任中心可以通過任何邏輯方法決定一個設備是否允許進入這個網絡中。其中一種就是信任中心只允許一個設備在很短的窗口時間加入網絡,這無法繞過使用者的許可過程。
3、應用數據安全
信任中心可以根據自己的判斷更新網絡密碼。應用程序開發人員修改網絡密碼更新策略。默認信任中心執行能夠用來符合開發人員的指定策略。一個樣例策略將按照一定的間隔周期更新網絡密碼。另外一種將根據用戶輸入來更新網絡密碼。
對于高尖端的專業黑客,或許入侵智能家居設備還有勝算的可能,但對于一般使用者,這事情實在不好想象。再說,花如此大的力氣,意義又何在呢?
