巨川電氣-ZigBee曝存嚴重漏洞
巨川電氣-ZigBee曝存嚴重漏洞 http://www.vietlogon.com/
伴隨科技的快速演進,物聯網(TheInternetofThings,IoT)概念再次興起,人們身邊的日常用品、終端設備、家用電器等也逐步被賦予了網絡連接的能力。
然而作為連接上述設備所廣泛使用的重要無線互聯標準之一,ZigBee技術卻于近期召開的2015黑帽大會(BlackHat2015)上被曝出存在嚴重的安全漏洞,引發了業內的廣泛關注。
ZigBee是一種低成本、低功耗、近距離的無線組網通訊技術。由于其名稱(ZigBee,Zig“嗡嗡”,Bee“蜜蜂”)來源于蜜蜂的八字舞,所以該協議又被稱為紫蜂協議。在理論層面上來說,它是基于IEEE802.15.4標準的低功耗局域網協議,主要適合用于自動控制和遠程控制領域,可以嵌入各種設備中進行數據的通訊傳輸。目前ZigBee協議已廣泛存在于諸如智能燈泡、智能門鎖、運動傳感器、溫度傳感器等大量新興的物聯網設備中。
然而就在各家公司仍舊將關注點集中在上述設備的連通性、兼容性等方面之時,卻沒有注意到一些常用的通訊協議在安全方面的進展上則處于滯后狀態。這不,在剛剛結束的2015黑帽大會上,就有安全研究人員指出,在ZigBee技術的實施方法中存在一個嚴重缺陷。而該缺陷涉及到多種類型的設備中,黑客有可能以此危害ZigBee網絡,并“接管該網絡內所有互聯設備的控制權”。
研究人員表示,通過對每一臺設備評估得出的實踐安全分析表明,利用ZigBee技術雖然為設備的快速聯網帶來了便捷,但由于缺乏有效的安全配置選項,致使設備在配對流程存在漏洞,黑客將有機會從外部嗅探出網絡的交換密鑰。而ZigBee網絡的安全性則完全依賴于網絡密鑰的保密性,因此這個漏洞的影響將非常的嚴重。
在安全人員的分析中,他們指出具體問題在于,ZigBee協議標準要求支持不安全的初始密鑰的傳輸,再加上制造商對默認鏈路密鑰的使用——使得黑客有機會侵入網絡,通過嗅探某個設備破解用戶配置文件,并使用默認鏈路密鑰加入該網絡。
然而,默認鏈路密鑰的使用給網絡密鑰的保密性帶來了極大的風險。因為ZigBee的安全性很大程度上依賴于密鑰的保密性,即加密密鑰安全的初始化及傳輸過程,因此這種開倒車的默認密鑰使用機制必須被視作嚴重風險。
安全人員表示,如果攻擊者能夠嗅探一臺設備并使用默認鏈路密鑰加入網絡,那么該網絡的在用密鑰就不再安全,整個網絡的通信機密性也可以判定為不安全。
可實際上,ZigBee協議標準本身的設計問題并不是引發上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商為了生產出方便易用、可與其它聯網設備無縫協作的設備,同時又要最大化地壓低設備成本,而不顧及在安全層面上采用必要的安全性考量。
安全人員指出,在對智能燈泡、智能門鎖、運動傳感器、溫度傳感器等所做的測試中顯示,這些設備的供應商僅部署了最少數量的要求認證的功能。其它提高安全級別的選項都沒被部署,也沒有開放給終端用戶。而這種情況下所帶來的安全隱患,其嚴重程度將是非常高的。
綜上,正如無線路由器會曝出存在默認管理密碼的安全漏洞一樣,現在被部署于大量智能設備中的ZigBee協議也被設備制造商隨意濫用,導致使用該協議的家用或企業級互聯設備暴露在惡意攻擊者的覬覦之下。由此可見,在確保智能設備獲得出色的互通性與普及性同時,如何還能為消費者兼顧安全層面上的可靠防護,才是當前智能設備廠商最該做的。
相關資訊
- 照明節能管理的合理設計
- 建筑照明設計標準GB50034-2013 術語篇
- 科普二之電氣裝置、電氣設備、用電設備的區別
- 2021年城市照明建設規劃標準
- 2021年公共建筑能耗系統的轉變與趨勢一
- 2021年國內建筑節能系統的變化與趨勢二
最新產品
同類文章排行
- TLYZKF-M系列智能動力控制器介紹
- 又一著名品牌倒閉!飛利浦燈飾制造(深圳)停止運營
- 2017年全球照明展會匯總
- 浙江巨川ASF.RL.6.20AZSF 智能照明模塊ASF.RL.6.16AF
- 十大智能照明品牌排名
- JS-BUS巨川電氣TSSD-0816C 智能照明模塊系統
- L5512RVF 12路10A智能繼電器 L5512RVFP
- TLYZKF-M智能動力控制器廠家TLYZKF-M價格
- TLY-01L03/16 3路 開關驅動模塊
- 曝光:王傳福在比亞迪內部最新講話!