藍牙智能門鎖是非常熱門的智能家居產品,“無鑰匙進入”和“遠程授權訪問”使藍牙智能門鎖將未來智能化生活中的場景帶到了現實。蘋果公司的HomeKit、流行的短租網站Airbnb對藍牙智能門鎖的支持,更是讓這個產品在北美火速流行,品牌數量也迅速激增,功能賣點五花八門,讓消費者挑選起來無所適從。
消費者購買藍牙智能門鎖時最關心的一點無疑是安全性能,顏值情懷啥的暫時可以先放一邊,畢竟家門是人身和資產安全的最后一道物理防線,智能產品的便捷性和靈活性不能以犧牲安全性為代價。
但不幸的是,目前市場上大多數流行的藍牙智能門鎖黑客都可以在400米外輕松搞定。
在今年拉斯維加斯舉行的全球黑客大會DEF CON上,有兩個主題演講都與藍牙智能門鎖的安全性有關,其中來自Merculite Security安全技術公司的兩位安全研究人員Anthony Rose和Ben Ramsey,輕松破解了16款市場主流藍牙智能門鎖中的12款,而他們使用的也不是什么高大上的安全設備,而是樹莓派、藍牙棒、高增益天線、Ubertooth One(一種開源的藍牙監控開發平臺)等網上唾手可得的便宜貨,加起來不到200美元。
在被攻破的12個品牌藍牙智能門鎖產品中,Quicklock、iBluLock和Plantraco三家的安全性最為糟糕,居然使用明文發送密碼,任何手里有藍牙嗅探設備的黑客都能輕易獲得密碼,甚至用暴力破解也可以得手。而Geomate、Elecycle El797、Vians 和Lagute Sciener四個產品則在黑客的Replay回放攻擊中被破解,所謂回放攻擊就是在暗處嗅探合法用戶開鎖時的數據,這種攻擊方法數十年來已經被世界各地的竊賊廣泛應用于停車場和車庫行竊中;剩余幾款鎖,包括宣稱采用了256位AES加密的Okidokey,都被黑客用模糊測試輕松搞定。
更糟糕的是,黑客聯系12家被破解的智能門鎖廠商,居然沒有一家回應,更不要說修補漏洞了。
只有Noke(掛鎖)、Masterlock(掛鎖)、August(門鎖)、Kwikset Levo(門鎖)四款藍牙智能門鎖(下圖)所經受住了全球頂級黑客的攻擊。
這些未被破解的產品基本都具備以下四大安全特性:
采用了正確AES加密方式 真正的8-16位隨機數 兩步認證 允許16-20位的長密碼作為普通用戶,如果你想嘗鮮藍牙智能門鎖,千萬不要抱僥幸心理,指望竊賊不懂黑客知識“看不懂”您家的新裝備,要知道在網絡地下黑市已經高度發達的今天,如果一種攻擊足夠有利可圖,廉價的攻擊工具和方法分分鐘就能流行起來。
如果您目前準備入手藍牙智能門鎖,我們建議考慮August這款(上圖),目前公認的最安全的藍牙智能門鎖,而且與蘋果Homekit整合,可以使用Siri遙控,面向未來的兼容性、擴展性和功能性是目前最強的。雖然DEF CON另外一個黑客演講者利用August的漏洞完成了訪客的提權(已經有訪客權限的基礎上提升為超級用戶,能夠修改門鎖設置),但是這種漏洞在現實生活中沒有什么實際威脅,誰沒事招黑客高手來家破解自己的門鎖,況且August的團隊對待漏洞的態度非常坦誠積極,對于門鎖這種長周期產品來說,一個實事求是、與時俱進的產品團隊能給用戶更長久的安全感。
京公網安備 11010502049343號