ZigBee曝出严重漏洞 或引发新安全危机

2015-08-13 09:49:57来源: 中关村在线 关键字:曝出  严重  漏洞  危机
    伴随科技的快速演进,物联网(The Internet of Things,IoT)概念再次兴起,人们身边的日常用品、终端设备、家用电器等也逐步被赋予了网络连接的能力。然而作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术却于近期召开的2015黑帽大会(BlackHat2015)上被曝出存在严重安全漏洞,引发了业内的广泛关注。

  ZigBee是一种低成本低功耗、近距离的无线组网通讯技术。由于其名称(ZigBee,Zig“嗡嗡”,Bee“蜜蜂”)来源于蜜蜂的八字舞,所以该协议又被称为紫蜂协议。在理论层面上来说,它是基于IEEE802.15.4标准的低功耗局域网协议,主要适合用于自动控制和远程控制领域,可以嵌入各种设备中进行数据的通讯传输。目前ZigBee协议已广泛存在于诸如智能灯泡智能门锁、运动传感器温度传感器等大量新兴的物联网设备中。

  然而就在各家公司仍旧将关注点集中在上述设备的连通性兼容性等方面之时,却没有注意到一些常用的通讯协议在安全方面的进展上则处于滞后状态。这不,在刚刚结束的2015黑帽大会上,就有安全研究人员指出,在ZigBee技术的实施方法中存在一个严重缺陷。而该缺陷涉及到多种类型的设备中,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。

  研究人员表示,通过对每一台设备评估得出的实践安全分析表明,利用ZigBee技术虽然为设备的快速联网带来了便捷,但由于缺乏有效的安全配置选项,致使设备在配对流程存在漏洞,黑客将有机会从外部嗅探出网络的交换密钥。而ZigBee网络的安全性则完全依赖于网络密钥的保密性,因此这个漏洞的影响将非常的严重。

  在安全人员的分析中,他们指出具体问题在于,ZigBee协议标准要求支持不安全的初始密钥的传输,再加上制造商对默认链路密钥的使用——使得黑客有机会侵入网络,通过嗅探某个设备破解用户配置文件,并使用默认链路密钥加入该网络。

  然而,默认链路密钥的使用给网络密钥的保密性带来了极大的风险。因为ZigBee的安全性很大程度上依赖于密钥的保密性,即加密密钥安全的初始化及传输过程,因此这种开倒车的默认密钥使用机制必须被视作严重风险。

  安全人员表示,如果攻击者能够嗅探一台设备并使用默认链路密钥加入网络,那么该网络的在用密钥就不再安全,整个网络的通信机密性也可以判定为不安全。

  可实际上,ZigBee协议标准本身的设计问题并不是引发上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商为了生产出方便易用、可与其它联网设备无缝协作的设备,同时又要最大化地压低设备成本,而不顾及在安全层面上采用必要的安全性考量。

  安全人员指出,在对智能灯泡智能门锁、运动传感器、温度传感器等所做的测试中显示,这些设备的供应商仅部署了最少数量的要求认证的功能。其它提高安全级别的选项都没被部署,也没有开放给终端用户。而这种情况下所带来的安全隐患,其严重程度将是非常高的。

  综上,正如无线路由器会曝出存在默认管理密码的安全漏洞一样,现在被部署于大量智能设备中的ZigBee协议也被设备制造商随意滥用,导致使用该协议的家用或企业级互联设备暴露在恶意攻击者的觊觎之下。由此可见,在确保智能设备获得出色的互通性与普及性同时,如何还能为消费者兼顾安全层面上的可靠防护,才是当前智能设备厂商最该做的。

关键字:曝出  严重  漏洞  危机

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/2015/0813/article_8729.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:智能梯控系统具备的五大功能
下一篇:巨头混战智能家居:标准不一只有虚假繁荣

论坛活动 E手掌握
关注eeworld公众号
快捷获取更多信息
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
曝出
严重
漏洞
危机

小广播

独家专题更多

TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源
迎接创新的黄金时代 无创想,不奇迹
迎接创新的黄金时代 无创想,不奇迹
​TE工程师帮助将不可能变成可能,通过技术突破,使世界更加清洁、安全和美好。
TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved