1、ZigBee被曝出有严重的安全漏洞
伴随科技的快速演进,物联网(The Internet of Things,IoT)概念再次兴起,人们身边的日常用品、终端设备、家用电器等也逐步被赋予了网络连接的能力。然而作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术却于近期召开的2015黑帽大会(BlackHat2015)上被曝出存在严重的安全漏洞,引发了业内的广泛关注。
ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术。由于其名称(ZigBee,Zig“嗡嗡”,Bee“蜜蜂”)来源于蜜蜂的八字舞,所以该协议又被称为紫蜂协议。在理论层面上来说,它是基于IEEE802.15.4标准的低功耗局域网协议,主要适合用于自动控制和远程控制领域,可以嵌入各种设备中进行数据的通讯传输。目前ZigBee协议已广泛存在于诸如智能灯泡、智能门锁、运动传感器、温度传感器等大量新兴的物联网设备中。
然而就在各家公司仍旧将关注点集中在上述设备的连通性、兼容性等方面之时,却没有注意到一些常用的通讯协议在安全方面的进展上则处于滞后状态。这不,在刚刚结束的2015黑帽大会上,就有安全研究人员指出,在ZigBee技术的实施方法中存在一个严重缺陷。而该缺陷涉及到多种类型的设备中,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。
研究人员表示,通过对每一台设备评估得出的实践安全分析表明,利用ZigBee技术虽然为设备的快速联网带来了便捷,但由于缺乏有效的安全配置选项,致使设备在配对流程存在漏洞,黑客将有机会从外部嗅探出网络的交换密钥。而ZigBee网络的安全性则完全依赖于网络密钥的保密性,因此这个漏洞的影响将非常的严重。
2、硬伤竟是源于使用默认链路密钥
在安全人员的分析中,他们指出具体问题在于,ZigBee协议标准要求支持不安全的初始密钥的传输,再加上制造商对默认链路密钥的使用——使得黑客有机会侵入网络,通过嗅探某个设备破解用户配置文件,并使用默认链路密钥加入该网络。