ZigBee曝出严重漏洞 或引发新安全危机

2015-08-13 09:49:57来源: 中关村在线
    伴随科技的快速演进,物联网(The Internet of Things,IoT)概念再次兴起,人们身边的日常用品、终端设备、家用电器等也逐步被赋予了网络连接的能力。然而作为连接上述设备所广泛使用的重要无线互联标准之一,ZigBee技术却于近期召开的2015黑帽大会(BlackHat2015)上被曝出存在严重的安全漏洞,引发了业内的广泛关注。

  ZigBee是一种低成本、低功耗、近距离的无线组网通讯技术。由于其名称(ZigBee,Zig“嗡嗡”,Bee“蜜蜂”)来源于蜜蜂的八字舞,所以该协议又被称为紫蜂协议。在理论层面上来说,它是基于IEEE802.15.4标准的低功耗局域网协议,主要适合用于自动控制和远程控制领域,可以嵌入各种设备中进行数据的通讯传输。目前ZigBee协议已广泛存在于诸如智能灯泡、智能门锁、运动传感器、温度传感器等大量新兴的物联网设备中。

  然而就在各家公司仍旧将关注点集中在上述设备的连通性、兼容性等方面之时,却没有注意到一些常用的通讯协议在安全方面的进展上则处于滞后状态。这不,在刚刚结束的2015黑帽大会上,就有安全研究人员指出,在ZigBee技术的实施方法中存在一个严重缺陷。而该缺陷涉及到多种类型的设备中,黑客有可能以此危害ZigBee网络,并“接管该网络内所有互联设备的控制权”。

  研究人员表示,通过对每一台设备评估得出的实践安全分析表明,利用ZigBee技术虽然为设备的快速联网带来了便捷,但由于缺乏有效的安全配置选项,致使设备在配对流程存在漏洞,黑客将有机会从外部嗅探出网络的交换密钥。而ZigBee网络的安全性则完全依赖于网络密钥的保密性,因此这个漏洞的影响将非常的严重。

  在安全人员的分析中,他们指出具体问题在于,ZigBee协议标准要求支持不安全的初始密钥的传输,再加上制造商对默认链路密钥的使用——使得黑客有机会侵入网络,通过嗅探某个设备破解用户配置文件,并使用默认链路密钥加入该网络。

  然而,默认链路密钥的使用给网络密钥的保密性带来了极大的风险。因为ZigBee的安全性很大程度上依赖于密钥的保密性,即加密密钥安全的初始化及传输过程,因此这种开倒车的默认密钥使用机制必须被视作严重风险。

  安全人员表示,如果攻击者能够嗅探一台设备并使用默认链路密钥加入网络,那么该网络的在用密钥就不再安全,整个网络的通信机密性也可以判定为不安全。

  可实际上,ZigBee协议标准本身的设计问题并不是引发上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商为了生产出方便易用、可与其它联网设备无缝协作的设备,同时又要最大化地压低设备成本,而不顾及在安全层面上采用必要的安全性考量。

  安全人员指出,在对智能灯泡、智能门锁、运动传感器、温度传感器等所做的测试中显示,这些设备的供应商仅部署了最少数量的要求认证的功能。其它提高安全级别的选项都没被部署,也没有开放给终端用户。而这种情况下所带来的安全隐患,其严重程度将是非常高的。

  综上,正如无线路由器会曝出存在默认管理密码的安全漏洞一样,现在被部署于大量智能设备中的ZigBee协议也被设备制造商随意滥用,导致使用该协议的家用或企业级互联设备暴露在恶意攻击者的觊觎之下。由此可见,在确保智能设备获得出色的互通性与普及性同时,如何还能为消费者兼顾安全层面上的可靠防护,才是当前智能设备厂商最该做的。

关键字:曝出  严重  漏洞  危机

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/2015/0813/article_8729.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
曝出
严重
漏洞
危机

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved