近年來,市場上涌現出不少諸如飛利浦Hue、三星Smart-Bulb、小米Yeelight和魅族X-Light此類智能照明產品:通過無線技術將燈泡連接在一起,以用于智能家居、酒店和工業等領域。
然而,深受詬病的物聯網安全問題正在成為智能照明進一步發展的掣肘。
據外媒報道,來自德國埃爾朗根-紐倫堡大學的一份研究論文《您所有的燈泡屬于我們:智能照明系統當前安全狀態調查》顯示,智能照明通信標準之一的ZigBee-Light-Link(以下簡稱ZLL)存在安全缺陷,該協議一旦被攻破就會導致整個照明系統被接管。
ZLL是ZigBee聯盟針對照明行業開發的一種低功耗網狀網無線通信技術,旨在為照明行業提供可互操作和易于使用的消費照明和控制產品的標準,允許消費者獲得對其所有LED燈具、燈泡、計時器、遙控器等設備的無線控制。目前,這項標準已被不少企業用于智能照明設備的連接。
一定程度上來看,ZLL解決了一些智能照明設備的兼容性問題,并且能實現設備的快速添加和刪除,但是它的安全性顯然被高估。埃爾朗根-紐倫堡大學三名專業人士的這份研究結果就是很好的說明。
為了調查照明系統的安全狀態,埃爾朗根-紐倫堡大學的三名專業人士以飛利浦的Hue、歐司朗的Lightify以及通用電氣的GE-Link為對象進行了深入研究。但是結果表明,基于ZLL協議的智能照明系統安全性差強人意,而問題就出在協議本身設計存在安全缺陷,并且攻擊距離也不是問題,最受歡迎的Hue距36米處也能被攻破。
論文還詳細交代了攻破ZLL協議的兩類方法——在無需密鑰信息支持情況下利用所謂的跨框架(inter-pan)中安全漏洞概念和通過獲取主密鑰信息實現對ZLL設備的控制。
論文中描述到,每個經過認證的ZLL支持傳統和Touchline兩種調試(小編注:調試,即建立新的ZLL網絡或使新的ZLL設備入網的過程),區別在于密鑰管理和傳輸的協議,但問題是,沒有密鑰信息設備可以通過瞬間攻擊、重置攻擊、拒絕服務攻擊等手段進行攻破,而加了密鑰的可以通過攔截或網絡密鑰提取的方式,獲取主密鑰。
顯而易見,無論采取哪種方法,都能最終實現對ZigBee Light Link設備的控制。簡單來說,照明系統,都有可能被黑客破解,然后受到非法控制,屆時你的智能燈泡也就不再是你的智能燈泡了。
去年8月,曾有安全人員指出,由于制造商為了生產出方便易用、可與其它聯網設備無縫協作的設備,同時又要最大化地壓低設備成本,而不顧及在安全層面上采用必要的安全性考量,從而造成ZigBee網絡存在安全風險,引廣了廣泛關注,即便結論也強調了ZigBee標準本身設計尚未發現問題。
并不否認,對硬件廠商來說,智能照明通信標準還有其它比較穩妥的選擇,如ZigBee中已成功廣泛應用于家庭自動化。但是,物聯網安全問題也絕不容掉以輕心——ZLL被證存在安全缺陷無疑就是一次響亮的警鐘。
京公網安備 11010502049343號