如今,智能门锁已是智能家居生态中的一员,并遍布全国,其超高的科技感、个性化、实用性以及便捷性深受广大消费者的喜欢。一款门锁不用随身携带钥匙,用指纹、人脸或虹膜识别就能把门打开;又或者只要连接wifi,用手机号设置门锁,就可以实现远程开启门锁或者只需一个临时密码就可以很方便的打开门锁,这大大实现了信息智能时代的理念。故此,智能门锁市场可谓是一片蓝海,但是随着市面上智能锁的不断增多,智能门锁的安全问题也日渐频繁。
试想:
· 一个黑客背着电脑蹲在你家门正在破解你家的智能门锁,而你却舒然不知;
·一个人在家中,家里的门毫无缘由自己就打开了,一群彪形大汉闯进家中进行抢劫勒索;
·一个陌生人可以毫无妨碍的随意进出你家,可以在你浑然不知的情况下在你家中做任何事情。
小编相信,如果有恶意行为者故意而为之,以上几种恐怖的场景都不难发生。
作为家庭安全防护的第一道屏障,门锁的重要性无可厚非。故此,智能门锁的安全性尤为重要。但事与愿违,智能门锁如今已成为了安全问题的重灾区。国内外爆出智能门锁的安全问题及事件比比皆是。
然而,不仅家庭智能门锁如此,公寓智能门锁同样也是存在诸多安全问题。
嘶吼近期接到胖猴实验室的爆料,果加公寓版智能门锁存在安全漏洞,可使恶意攻击者控制门锁。
其实,胖猴实验室曾在XPwn2018未来安全探索盛会上就披露过果加家庭版智能门锁的两个漏洞,利用其中任意一个漏洞即可实现任意开门。
针对这两个智能门锁漏洞,果加厂商也及时的做出了修复。
时隔不久,在果加公寓版智能门锁中又发现有漏洞存在。
果加公寓版智能门锁存在漏洞,通过一些方法可以让门锁连接到攻击者网关上。
图1 同一把门锁连接不同网关
如果门锁连接到攻击者准备的恶意网关,就能被控制升级恶意固件,然后随意开门。
图2 研究人员在调试门锁固件
更多细节暂时无法披露。目前,此漏洞已提交CNNVD(国家信息安全漏洞库)。虽然果加公寓版智能门锁存在此漏洞,不过此漏洞的利用需要一些特殊的条件,对于普通人来说还是有一些限制的,所以影响及危险指数不算很高,但也希望相关厂商尽快做出修复方案。
我国信息智能化产品已经遍布各个地区,随之带来的各种安全漏洞也逐渐暴露了出来,这就需要安全人员不断的去更新修复,在漏洞与修补的博弈中不断的净化行业安全乱象。
智能门锁作为一个新兴行业,它的健康发展需要大众、企业,国家共同的维护。每一次的攻防测试都是对智能门锁更好的优化。嘶吼提醒大家,作为消费者需要提高安全意识,更加理性的看待智能锁产品。