伴隨科技的快速演進,物聯(lián)網(wǎng)(The Internet of Things�����,IoT)概念再次興起,人們身邊的日常用品�����、終端設備�、家用電器等也逐步被賦予了網(wǎng)絡連接的能力。然而作為連接上述設備所廣泛使用的重要無線互聯(lián)標準之一�����,ZigBee技術卻于近期召開的2015黑帽大會(Black Hat 2015)上被曝出存在嚴重的安全漏洞,引發(fā)了業(yè)內(nèi)的廣泛關注�。
伴隨科技的快速演進,物聯(lián)網(wǎng)(The Internet of Things�,IoT)概念再次興起,人們身邊的日常用品��、終端設備�、家用電器等也逐步被賦予了網(wǎng)絡連接的能力。然而作為連接上述設備所廣泛使用的重要無線互聯(lián)標準之一�����,ZigBee技術卻于近期召開的2015黑帽大會(Black Hat 2015)上被曝出存在嚴重的安全漏洞�,引發(fā)了業(yè)內(nèi)的廣泛關注。
ZigBee是一種低成本���、低功耗����、近距離的無線組網(wǎng)通訊技術�。由于其名稱(ZigBee����,Zig“嗡嗡”�,Bee“蜜蜂”)來源于蜜蜂的八字舞����,所以該協(xié)議又被稱為紫蜂協(xié)議。在理論層面上來說���,它是基于IEEE802.15.4標準的低功耗局域網(wǎng)協(xié)議����,主要適合用于自動控制和遠程控制領域����,可以嵌入各種設備中進行數(shù)據(jù)的通訊傳輸。目前ZigBee協(xié)議已廣泛存在于諸如智能燈泡���、智能門鎖����、運動傳感器�����、溫度傳感器等大量新興的物聯(lián)網(wǎng)設備中�。
然而就在各家公司仍舊將關注點集中在上述設備的連通性�����、兼容性等方面之時�,卻沒有注意到一些常用的通訊協(xié)議在安全方面的進展上則處于滯后狀態(tài)�。這不,在剛剛結束的2015黑帽大會上��,就有安全研究人員指出���,在ZigBee技術的實施方法中存在一個嚴重缺陷�����。而該缺陷涉及到多種類型的設備中�����,Hacker 有可能以此危害ZigBee網(wǎng)絡��,并“接管該網(wǎng)絡內(nèi)所有互聯(lián)設備的控制權”���。
研究人員表示,通過對每一臺設備評估得出的實踐安全分析表明,利用ZigBee技術雖然為設備的快速聯(lián)網(wǎng)帶來了便捷���,但由于缺乏有效的安全配置選項,致使設備在配對流程存在漏洞�����,Hacker將有機會從外部嗅探出網(wǎng)絡的交換密鑰����。而ZigBee網(wǎng)絡的安全性則完全依賴于網(wǎng)絡密鑰的保密性,因此這個漏洞的影響將非常的嚴重�。
在安全人員的分析中,他們指出具體問題在于���,ZigBee協(xié)議標準要求支持不安全的初始密鑰的傳輸�,再加上制造商對默認鏈路密鑰的使用——使得Hacker有機會侵入網(wǎng)絡��,通過嗅探某個設備破解用戶配置文件����,并使用默認鏈路密鑰加入該網(wǎng)絡。
然而�,默認鏈路密鑰的使用給網(wǎng)絡密鑰的保密性帶來了極大的風險。因為ZigBee的安全性很大程度上依賴于密鑰的保密性,即加密密鑰安全的初始化及傳輸過程�����,因此這種開倒車的默認密鑰使用機制必須被視作嚴重風險�。
安全人員表示,如果攻擊者能夠嗅探一臺設備并使用默認鏈路密鑰加入網(wǎng)絡�,那么該網(wǎng)絡的在用密鑰就不再安全,整個網(wǎng)絡的通信機密性也可以判定為不安全�����。
可實際上�,ZigBee協(xié)議標準本身的設計問題并不是引發(fā)上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商為了生產(chǎn)出方便易用�����、可與其它聯(lián)網(wǎng)設備無縫協(xié)作的設備�����,同時又要最大化地壓低設備成本�,而不顧及在安全層面上采用必要的安全性考量。
安全人員指出����,在對智能燈泡���、智能門鎖、運動傳感器��、溫度傳感器等所做的測試中顯示���,這些設備的供應商僅部署了最少數(shù)量的要求認證的功能。其它提高安全級別的選項都沒被部署�����,也沒有開放給終端用戶��。而這種情況下所帶來的安全隱患�,其嚴重程度將是非常高的。
綜上����,正如無線路由器會曝出存在默認管理密碼的情形一樣,現(xiàn)在被部署于大量智能設備中的ZigBee協(xié)議也被設備制造商隨意濫用����,導致使用該協(xié)議的家用或企業(yè)級互聯(lián)設備暴露在眾目睽睽之下�。由此可見��,在確保智能設備獲得出色的互通性與普及性同時�,如何還能為消費者兼顧安全層面上的可靠防護,才是當前智能設備廠商最該做的�����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權所有方的����,皆為無意。如您是字體廠商�、圖片文字廠商等版權方,且不允許本站使用您的字體和圖片文字等素材����,請聯(lián)系我們,本站核實后將立即刪除�!任何版權方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟賠償����!敬請諒解�!
粵公網(wǎng)安備 44030402000264號