重磅 | 千万家庭的安全如何守护?「智能门锁安全分析报告」正式发布
2019-08-14 17:00:00 Author: www.freebuf.com(查看原文) 阅读量:138 收藏

人对于工具的情感是有一定倾向性,我对一把键盘珍爱有加,或许你对一款耳机爱不释手,但是似乎从来没有人对一把家用门锁厚加情怀,它就在那里,仅仅是在那里。就在2017年初,传统锁具的命运陡然驶入了快车道,以指纹锁为代表的“智能门锁”真正开始大规模落地,是年热度极速攀升,推动了门锁行业的转型和飞跃,几千年来人们对于门锁的刻板印象也在这两年里也发生了变化。

“智能门锁”究竟该怎样定位?思来想去,也许它就是未来智能家居的窗口,用户追求智能化生活的入门指南。

传统锁具的特性是“安全、稳定”,“智能门锁”以传统锁具为基础增加了“便捷”、“联动”和“交互”能力,主要实现了开门方式的多样化:

指纹、密码、RF卡、机械钥匙、临时密码/周期密码/用户分组、蓝牙开锁/NFC 开锁、APP开锁/微信开锁、智能家居联动等。

作为个人和家庭的生命与财产的基本保障手段,“智能门锁”毫无疑问在人们生活中的存在感越来越强,但是是否比原来的机械锁更安全,这需要打一个问号。这里的安全主要指信息安全问题,其痛点在于”智能门锁“所采用的方案基本来自传统安防领域和互联网产业的技术转移,这两个领域本身存在诸多薄弱环节。加之工业标准里没有“智能门锁”这一名词,主要是企业自发命名,这就导致目前没有专门的工业标准与市面上的智能锁相对应,部分“智能门锁”处于“无人监管”的状态。

从行业实践角度出发,现有的“智能门锁”类产品需要满足电子防盗锁的要求——国家强制性标准——GB21556-2008 《锁具安全通用技术条件》。标准涵盖了目前市场上流通的绝大部分民用锁具,其中4.10章节对电子防盗门锁做出了相应的要求,这是电子防盗门锁类的及格线。但对于叠加多种功能的锁具,没有明确规定要同时满足所有标准。现在通常的做法是由工厂出具“智能门锁”标准,委托检验机构检验,这样的产品也不会太差,因为标准首先要过审。不过在民用领域,还有很多企业甚至没有检验环节。

目前,“智能门锁”的国家标准已经远远落后于行业发展,对于功能更加复杂的手机App联网开锁等新型锁具,在工业标准上更是空白。对于这类新型智能锁,目前确实没有标准能够加以指导和约束,尤其是信息安全相关的内容基本缺失。

去年进入大众视野的“小黑盒”事件引得“智能门锁”用户人心惶惶,最为核心的安全能力却成为门锁市场的痛点,让原本有意向的消费者也望而却步。从信息安全从业者的角度看,“小黑盒”早已不是新鲜事物,目前市面上公开发售的“智能门锁”品牌,有不少在设备硬件、设备固件、设备物理接口、设备更新机制、设备Web接口、设备网络服务、本地数据存储、网络通信、移动APP应用、云端服务、认证与授权、隐私保护等层面存在多种问题,面临非授权读取设备、拒绝工作、恶意代码攻击、隐私泄露、网络中断、网络拦截、篡改、拒绝服务、中间人攻击、抵赖和否认、重放威胁、身份冒充、伪造等信息安全风险。

智能门锁做不好自己的“本职工作”,追求再多的“智能”消费者也不会买账。在这样的现实背景下,FreeBuf研究院联合斗象科技能力中心、漏洞盒子平台推出了《智能门锁安全分析报告》,回归到锁具的本质属性,重点关注物联网时代智能门锁的安全能力,进一步延申到物联网的安全问题。

image.png

本报告包含对智能门锁的发展趋势的看法,对智能门锁按物联网进行逻辑分层,总结了智能门锁常见的组网方式和通信技术,梳理了多种智能门锁的开锁模式,以及智能门锁所面对的常见威胁和风险,最后结合具体的智能门锁安全漏洞进行案例验证分析。

image.png

出品方

斗象科技能力中心

斗象科技能力中心(TCC)团队专注于安全前沿探索,漏洞挖掘分析、机器学习、网络安全分析、Web安全研究、大数据分析、IoT安全研究、区块链安全研究等都是他们的涉猎范围。打造核心安全能力的同时,TCC也践行着极致与自由分享的极客精神,积极将研究成果与业界共享。

FreeBuf研究院

FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体平台,聚焦全球安全热点,畅谈企业安全建设,以最客观公正的视角解析国内外安全产品。全方位打造系列精品高端课程,行业大咖坐镇分享安全知识,是深受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,进行专业的安全行业现状和趋势分析。

漏洞盒子

漏洞盒子,高效的互联网安全测试众测平台,国内安全众测模式的创新者和领导者。链接全球安全专家资源与自有团队,通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全服务平台。

《智能门锁安全分析报告》完整版已经推出,点击这里或扫描下方二维码登记领取~

image.png


文章来源: https://www.freebuf.com/articles/paper/198703.html
如有侵权请联系:admin#unsafe.sh