伴隨科技的快速演進(jìn)�,物聯(lián)網(wǎng)(The Internet of Things���,IoT)概念再次興起���,人們身邊的日常用品���、終端設(shè)備��、家用電器等也逐步被賦予了網(wǎng)絡(luò)連接的能力�。然而作為連接上述設(shè)備所廣泛使用的重要無線互聯(lián)標(biāo)準(zhǔn)之一�,ZigBee技術(shù)卻于近期召開的2015黑帽大會(huì)(Black Hat 2015)上被曝出存在嚴(yán)重的安全漏洞,引發(fā)了業(yè)內(nèi)的廣泛關(guān)注���。
伴隨科技的快速演進(jìn)����,物聯(lián)網(wǎng)(The Internet of Things���,IoT)概念再次興起�,人們身邊的日常用品���、終端設(shè)備����、家用電器等也逐步被賦予了網(wǎng)絡(luò)連接的能力����。然而作為連接上述設(shè)備所廣泛使用的重要無線互聯(lián)標(biāo)準(zhǔn)之一�����,ZigBee技術(shù)卻于近期召開的2015黑帽大會(huì)(Black Hat 2015)上被曝出存在嚴(yán)重的安全漏洞���,引發(fā)了業(yè)內(nèi)的廣泛關(guān)注。
ZigBee是一種低成本�、低功耗、近距離的無線組網(wǎng)通訊技術(shù)�����。由于其名稱(ZigBee���,Zig“嗡嗡”,Bee“蜜蜂”)來源于蜜蜂的八字舞�����,所以該協(xié)議又被稱為紫蜂協(xié)議����。在理論層面上來說,它是基于IEEE802.15.4標(biāo)準(zhǔn)的低功耗局域網(wǎng)協(xié)議,主要適合用于自動(dòng)控制和遠(yuǎn)程控制領(lǐng)域��,可以嵌入各種設(shè)備中進(jìn)行數(shù)據(jù)的通訊傳輸����。目前ZigBee協(xié)議已廣泛存在于諸如智能燈泡、智能門鎖���、運(yùn)動(dòng)傳感器����、溫度傳感器等大量新興的物聯(lián)網(wǎng)設(shè)備中�����。
然而就在各家公司仍舊將關(guān)注點(diǎn)集中在上述設(shè)備的連通性���、兼容性等方面之時(shí)����,卻沒有注意到一些常用的通訊協(xié)議在安全方面的進(jìn)展上則處于滯后狀態(tài)�����。這不,在剛剛結(jié)束的2015黑帽大會(huì)上���,就有安全研究人員指出�,在ZigBee技術(shù)的實(shí)施方法中存在一個(gè)嚴(yán)重缺陷��。而該缺陷涉及到多種類型的設(shè)備中�����,Hacker 有可能以此危害ZigBee網(wǎng)絡(luò)���,并“接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)”���。
研究人員表示,通過對(duì)每一臺(tái)設(shè)備評(píng)估得出的實(shí)踐安全分析表明�,利用ZigBee技術(shù)雖然為設(shè)備的快速聯(lián)網(wǎng)帶來了便捷,但由于缺乏有效的安全配置選項(xiàng)���,致使設(shè)備在配對(duì)流程存在漏洞,Hacker將有機(jī)會(huì)從外部嗅探出網(wǎng)絡(luò)的交換密鑰�。而ZigBee網(wǎng)絡(luò)的安全性則完全依賴于網(wǎng)絡(luò)密鑰的保密性,因此這個(gè)漏洞的影響將非常的嚴(yán)重�。
在安全人員的分析中����,他們指出具體問題在于��,ZigBee協(xié)議標(biāo)準(zhǔn)要求支持不安全的初始密鑰的傳輸���,再加上制造商對(duì)默認(rèn)鏈路密鑰的使用——使得Hacker有機(jī)會(huì)侵入網(wǎng)絡(luò)��,通過嗅探某個(gè)設(shè)備破解用戶配置文件�����,并使用默認(rèn)鏈路密鑰加入該網(wǎng)絡(luò)����。
然而�,默認(rèn)鏈路密鑰的使用給網(wǎng)絡(luò)密鑰的保密性帶來了極大的風(fēng)險(xiǎn)。因?yàn)閆igBee的安全性很大程度上依賴于密鑰的保密性��,即加密密鑰安全的初始化及傳輸過程����,因此這種開倒車的默認(rèn)密鑰使用機(jī)制必須被視作嚴(yán)重風(fēng)險(xiǎn)。
安全人員表示��,如果攻擊者能夠嗅探一臺(tái)設(shè)備并使用默認(rèn)鏈路密鑰加入網(wǎng)絡(luò),那么該網(wǎng)絡(luò)的在用密鑰就不再安全�,整個(gè)網(wǎng)絡(luò)的通信機(jī)密性也可以判定為不安全。
可實(shí)際上���,ZigBee協(xié)議標(biāo)準(zhǔn)本身的設(shè)計(jì)問題并不是引發(fā)上述漏洞的原因���。上述漏洞的根源更多地被指向了由于制造商為了生產(chǎn)出方便易用、可與其它聯(lián)網(wǎng)設(shè)備無縫協(xié)作的設(shè)備����,同時(shí)又要最大化地壓低設(shè)備成本,而不顧及在安全層面上采用必要的安全性考量����。
安全人員指出,在對(duì)智能燈泡�����、智能門鎖���、運(yùn)動(dòng)傳感器�、溫度傳感器等所做的測(cè)試中顯示�,這些設(shè)備的供應(yīng)商僅部署了最少數(shù)量的要求認(rèn)證的功能。其它提高安全級(jí)別的選項(xiàng)都沒被部署�,也沒有開放給終端用戶。而這種情況下所帶來的安全隱患����,其嚴(yán)重程度將是非常高的。
綜上�,正如無線路由器會(huì)曝出存在默認(rèn)管理密碼的情形一樣,現(xiàn)在被部署于大量智能設(shè)備中的ZigBee協(xié)議也被設(shè)備制造商隨意濫用����,導(dǎo)致使用該協(xié)議的家用或企業(yè)級(jí)互聯(lián)設(shè)備暴露在眾目睽睽之下。由此可見����,在確保智能設(shè)備獲得出色的互通性與普及性同時(shí),如何還能為消費(fèi)者兼顧安全層面上的可靠防護(hù)�,才是當(dāng)前智能設(shè)備廠商最該做的。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�����。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材�,請(qǐng)聯(lián)系我們���,本站核實(shí)后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解����!
粵公網(wǎng)安備 44030402000264號(hào)