即時

智能門鎖方便了用戶,也方便了黑客


市面上的智能瑣大部份可被黑客破解。
2016年度 DefCon 黑客大會上,黑客們破解了許多市面上常見的智能瑣。攝:Robyn Beck/AFP

「單是紐約市,每年就有200萬人次被反鎖在門外;5個民眾中,就有4個人的手裏拿着他們早已忘記用途的鑰匙。」

這話是 Yves Behar 接受 Business Insider 採訪時說的,Yves Behar 是過去20年間最著名的工業設計師之一,也是智能鎖初創企業 August 的聯合創始人。智能鎖是一種通過藍牙等無線技術實現認證的非物理鑰匙系統,用戶的手機便是鑰匙,只要接近或離開鎖具一定距離,鎖具便會自動解鎖或上鎖;同時你還可以向家人、朋友的手機發送一個臨時的電子鑰匙,而不用再將備用鑰匙藏在門外的地墊下或是花盆裏。

不過,在拉斯維加斯剛剛結束的2016年度 DefCon 黑客大會上,電氣工程師 Antony Rose 和同伴 Ben Ramsey 展示了如何用價值僅100美元的 Ubertooth 嗅探器、40美元的樹莓派(Raspberry Pi,一款基於 Linux 的單板機電腦)、50美元的高性能天線以及15美元的USB藍牙適配器攻擊智能鎖。他們總共測試了16款,破解了其中的12款。

在公布的被破解鎖具名單中,Quicklock 的門鎖和掛鎖、iBluLock 的掛鎖、Plantrace Phantomlock 這四款都以明文形式將密碼傳送給手機,任何擁有藍牙嗅探器的人都能在數據傳輸過程中竊取密碼。四者中,Quicklock 的兩款智能鎖 Doorlock 和 Padlock 還會明文傳送密碼兩次,這使攻擊者不僅能獲取密碼,還能修改密碼。

不過也有四種智能鎖抵抗住了攻擊,它們分別是 Noke Locks、 Masterlock、 August doorlock 和 Kwickset Kevo。這些鎖具都採用了雙因素認證的密碼系統,也沒有在其軟件中包含硬編碼(hard-coded)密碼,因此測試者最終沒能攻入這些智能鎖。不過 Rose 表示,Kwickset Kevo 的鎖具雖然有極好的安全程式進行強加密,但做工非常差,用一個螺絲刀在幾秒內就可以拆掉。

Rose 聲稱,他們在發現漏洞之後已經聯繫了這12家廠商,但僅有1家廠商回應:「我們知道有這個問題,但是我們不打算修復它。」

幾乎可以肯定,未來的網絡攻擊將包括改變或操縱數據以破壞其完整性,並藉此影響決策、減少對系統的信任或造成不良的物理影響。廣泛採用『物聯網』設備和人工智能系統,將會加速這些潛在影響的發揮。

美國國家情報總監(DNI)James Clapper

黑掉智能鎖只是8月6日那天黑客們炫技的一小部分。

在這屆為期5天的 DefCon 上,來自世界各地的眾多黑客展示了各式各樣黑進物聯網設備的方法。這些設備不止有智能鎖,還有恆温器、太陽能電池板、閉路電視攝像機、特斯拉的電動汽車,甚至有人表演黑進一款性愛玩具,以竊取其使用者的相關數據。

研調機構 Juniper Research 預估,2018年智能家居市場規模將達710億美元,除了家庭自動化及安全監控外,家庭娛樂影音服務是另一個成長動力。而隨着物聯網設備的增多,網絡黑客有機會潛入與之相連的周邊網絡,掌控更多數據,發起更多攻擊。

6
Quicklock 生產的智能鎖僅僅使用6位數字密碼,這導致其產品極易被破解。

聲音

智能鎖的設計非常愚蠢,很多製造商更重視用戶使用的便利性,而非安全性。

破解智能鎖的電氣工程師 Antony Rose

有越來越多的黑客開始注意到這些物聯網設備,比起傳統的電腦,這些設備更容易被找到和控制。

趨勢科技歐洲技術總管 Raimund Genes

DefCon黑客大會

DefCon 黑客大會,又稱電腦黑客秘密大派對,誕生於1992年,舉辦地位於美國的拉斯維加斯。DefCon 黑客大會是黑客們結識朋友以及展示實力的一個國際平台,參會者除了來自世界各地的黑客以外,還有全球各大廠商的代表以及美國國防部、聯邦調查局、國家安全局等政府機構的官員。2013年,由於受斯諾登事件影響,美國聯邦政府官員首次被拒絕參會。(資料來自維基百科)

來源:TechCrunchTomsguideBusiness InsiderJuniper Research

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,也期待你付費支持我們