kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 爆料! 采用ZigBee协议的智能家居设备存在严重漏洞

爆料! 采用ZigBee协议的智能家居设备存在严重漏洞

2015-08-11

  安全研究人员发现,采用Zigbee协议(多种物联网、智能家居设备采用的一种无线互联标准)的设备存在一个严重漏洞——黑客们更有可能侵入你的智能家居,随意操控你的联网门锁、报警系统,甚至能够开关你的灯泡。

  Cognosec 公司今天在拉斯维加斯的黑帽大会(Black Hat)发布了一篇论文,指出 ZigBee 协议实施方法中的一个缺陷,该公司称该缺陷涉及多种类型的设备,黑客有可能以此危害 ZigBee 网络,并“接管该网络内所有互联设备的控制权”。

  “对每一台设备评估得出的实践安全分析表明,该解决方案的设计宗旨是方便搭建与使用,然而缺乏安全配置选项,设备配对流程存在漏洞,因此有机会从外部嗅探出网络交换密钥,”研究人员写道。

  “这个漏洞非常严重,因为该解决方案的安全性完全依赖于网络密钥的保密性。”

  “对灯泡、动作传感器、温度传感器乃至门锁所做的测试还显示, 这些设备的供应商部署了最少数量的要求认证的功能。其它提高安全级别的选项没有部署,也没有开放给终端用户,”他们补充写道。

  具体问题在于,ZigBee 协议标准要求支持不安全的初始密钥的传输,再加上制造商对默认链路密钥的使用——使得黑客有机会侵入网络,通过嗅探某个设备破解用户配置文件,并使用默认链路密钥加入该网络。

  他们这样写道:

  如果制造商希望设备能够与其它制造商的其它认证设备兼容,就必须部署标准的界面以及标准的配置文件。然而,默认链路密钥的使用给网络密钥的保密性带来了极大的风险。因为ZigBee的安全性很大程度上依赖于密钥的保密性,即加密密钥安全的初始化及传输过程,因此这种开倒车的默认密钥使用机制必须被视作严重风险。如果攻击者能够嗅探一台设备并使用默认链路密钥加入网络,那么该网络的在用密钥就不再安全,整个网络的通信机密性也可以判定为不安全。

  该漏洞的根源更多被指向制造商生产方便易用、能与其它联网设备无缝协作的设备、同时又要压低成本的压力,而不是ZigBee协议标准本身的设计问题。

  “我们在ZigBee中发现的短板和局限是由制造商造成的,”Cognosec公司的托比亚斯·齐尔纳(Tobias Zillner)在声明中这样认为,“各家公司都想制造最新最棒的产品,眼下也就意味着能够联网。灯泡开关这样的简单元件必须和其它各种设备兼容,毫不意外的是,很少会考虑安全要求——更多的心思都放在如何降低成本上。不幸的是,在无线通信标准中最后一层安全隐患的严重程度非常高。”

  三星、飞利浦、摩托罗拉、德州仪器等制造商均在部分产品中使用了ZigBee协议。


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。
Baidu
map