哪種無線通信協議最適合智能家居?ZigBee當仁不讓。近年來,為了爭奪潛力無限的智能家居市場,圍繞各類無線協議標準的爭論不斷,但不可否認,ZigBee賺足了眼球,頗受關注和信賴。在智能家居領域,相較于藍牙、WiFi、Z-Wave、射頻等技術協議,ZigBee一直光彩奪目,鮮有負面消息,可謂有口皆碑,深得人心,并被很多人默認為目前最適宜智能家居的協議標準。
而之所以如此,一方面與ZigBee協議本身分不開,另一方面則要感謝一些企業的大力熱捧和宣揚。
——技術層面,ZigBee不是為智能家居而生,卻為智能家居而長。智能家居設備需要擁有足夠的安全性、穩定性、操作流暢性、較強的設備承載能力和較低的功耗,而ZigBee都能滿足,且滿足得很到位,因而即便ZigBee最初主要應用于工業領域,如今也絲毫不影響它在智能家居領域的魅力。
——推廣層面,不少知名企業紛紛采納,一些實力公司大力宣揚。如果說村里某些人使用ZigBee協議了,你可能嗤之以鼻,呵呵不語,更談不上信賴,但如果說三星、LG、德州儀器、羅技、飛利浦、小米等知名企業都采用了呢?對ZigBee會不會產生好感?不僅如此,一些企業的大力宣傳也很關鍵,如ZigBee聯盟董事會成員、國內較早采用ZigBee的物聯網領軍企業物聯傳感在宣傳推廣方面會著重強調ZigBee的高級加密算法,使其安全性在消費者心中根深蒂固,為ZigBee樹立良好的口碑,從而推動ZigBee在中國區的發展。
所以,無論從哪個角度來看,ZigBee協議都有足夠的理由受到智能家居廠商的歡迎。然而,就在ZigBee聯盟宣布三星旗下品牌SmartThings成為繼物聯傳感后又一位董事會成員之后不足一周,黑帽子大會給潑了一盆冷水,拔涼拔涼的冷水:采用ZigBee協議的智能家居設備存在嚴重漏洞。
話說安全研究人員(Cognosec公司)發現,采用ZigBee協議的設備存在嚴重漏洞,有多嚴重呢?黑客有可能入侵智能家居,隨意操控聯網門鎖、報警系統,甚至能夠開關燈泡。按以往的新聞來看,這種事應該發生在WiFi、藍牙或Z-Wave身上,ZigBee怎么就中招了呢?
——黑帽子大會(Black Hat Conference)被公認為世界信息安全行業的最高盛會和最具技術性的信息安全會議,每年都會有不少專業團隊和民間高手參加。他們可以盡情地黑一切科技產品,無需手下留情,當然目的還是為了技術交流和提高企業產品的安全性。而Cognosec公司在這次大會上發表了論文,指出ZigBee協議實施方法中的一個缺陷。該公司稱,該缺陷涉及多種類型的設備,黑客有可能以此危害ZigBee網絡,并“接管該網絡內所有互聯設備的控制權”。
——若是Cognosec公司倒也不會如此,尤其是題目取的非常妙——《黑帽大會爆料,采用ZigBee協議的智能家居設備存在嚴重漏洞》(具體內容請自行百度腦補),讀者看不看內容沒有關系,只要看一眼標題就明白了:ZigBee智能家居設備存在嚴重漏洞。
ZigBee協議智能家居設備存在嚴重漏洞,看樣子ZigBee協議是難逃一劫了,但這種想法是“懶人”的想法,充分證明“標題黨”的勝利。向來較為可靠的ZigBee怎么存在嚴重問題呢?只看標題不行,關鍵還要仔細看內容。
顯而易見,標題就是會讓我們快速聯想到ZigBee協議有問題的,但實際完全沒有ZigBee協議太多啥事兒。這點原文筆者和Cognosec公司實際上都在最后給出了說明。
“該漏洞的根源更多被指向制造商生產方便易用、能與其它聯網設備無縫協作的設備、同時又要壓低成本的壓力,而不是ZigBee協議標準本身的設計問題。”——這是作者的分析。
“我們在ZigBee中發現的短板和局限是由制造商造成的,各家公司都想制造最新最棒的產品,眼下也就意味著能夠聯網。燈泡開關這樣的簡單元件必須和其它各種設備兼容,毫不意外的是,很少會考慮安全要求——更多的心思都放在如何降低成本上。不幸的是,在無線通信標準中最后一層安全隱患的嚴重程度非常高。”——這是Cognosec公司研究人員的漢化版原話。
其實,不難發現,向來可靠的智能家居協議ZigBee,并沒有給黑帽子黑掉,而是被一些急功近利的制造商“坑掉了”。那么現在問題又來了,除卻人為不作為因素(故意忽略標準安全性),ZigBee協議被攻破的幾率有多大呢?
在zigbee的通用安全級別中,一般有兩個key。一個是信任中心的key。另一個是實際進行網絡傳輸數據時的網絡key。最終想破解zigbee網絡,必須要獲取后者16個字節強密碼網絡key。由于zigbee采取的是AES128加密算法。在不知道這個網絡key的情況下,想暴力破解目前沒有可能。也沒有破解先例。
暴力破解的速度是極其低下的。一般只有300key/s,就算采取所謂的GPU加速,速度也不過是10000key/s,對于一個8位數字字母字符的復雜密碼破解時間都需要2900年!即使采用100臺分布式,也需要29年!何況zigbee的key是16個字節強密碼。
上面是一名來自對ZigBee協議安全性擁有足夠信心的物聯傳感的物聯網安全專家給出的答案。不要問為什么是這樣排的,原采訪郵件中的內容就是這樣的,不過足可以說明只要前期工夫做的好,黑客想破解ZigBee智能家居設備,難!至于“采用ZigBee協議的智能家居設備存在嚴重漏洞”,有一個前提條件:制造廠商不負責或技術不到位。