《2018中国智能锁消费白皮书》显示,截至2018年11月,我国智能门锁销售量已达到1200万套,与2017年的800万套和2016年的350万套相比,可以看出,智能门锁在我国已占据很大市场,并且呈快速上升趋势。然而,安全问题是衡量智能门锁优劣的最大准则,IT领域流传有一句话:网络能达到的地方,都存在网络安全问题。那么,智能门锁真的比传统门锁更安全吗?
安全风险
前不久,国家市场监督管理总局发布的《关于智能门锁质量安全消费警示》指出,智能门锁产品在远程开锁和人脸识别方面风险较高,在感应卡识别开锁方面隐患较多,在密码逻辑安全、抗电磁干扰、指纹识别等方面存在安全隐患。近日,央视新闻记者跟随广州的国家通用电子元器件及产品质量监督检验中心,对全国范围内的智能门锁产品进行了一次风险监测,结果同样不容乐观:38个品牌,共计40批次型号的智能门锁样品中,有6批次的门锁被特斯拉线圈(常被叫做“小黑盒”)打开,占比达到15%;被调查的指纹识别智能门锁、刷卡式门锁、联网式门锁存在风险漏洞的比例分别达到27.8%、94%、80%,可谓触目惊心。
总的来看,目前智能门锁存在以下4个方面的安全风险。
1.密码式智能门锁易泄露密码不论是机械密码锁还是电子密码锁,原理均是依赖通过密钥保护的密码算法将用户提前设置好的多位密码保存在本地设备的加密安全芯片中,待开锁过程中用户输入正确的密码,与预设密码相比对进行校验认证。具体来说,风险点主要有:(1)密码键盘被偷窥;(2)键盘表面的密码键位反复使用,比其他键位残留更多指纹,容易被光学设备采集并破解;(3)门锁系统对密码的加密存储中,密码保护和保护密钥存在被破解替换的风险。
2.刷卡式智能门锁验证环节存在漏洞刷卡式智能门锁的身份验证过程即门锁系统预存身份信息与“卡”中信息的匹配,这其中虽然依赖类似于通讯技术中复杂的密钥体系单向或双向校验实现鉴权认证,但仍存在较多易被破解的漏洞:(1)IC卡等实体卡片被非法复制;(2)门锁系统中存储的用户身份信息可能被破解或替换。
3.生物识别式智能门锁有非法复制风险生物识别式智能门锁利用人体固有的生理特征进行个人身份验证,虽然人体“材质”不易被复制,但存在可靠性和适应性的问题,人脸识别技术目前主要采用2D图像比对算法,采集到的人脸信息不够丰富,且对周围环境要求较高;虹膜识别技术成本高昂且用户体验不佳,目前仅应用于特殊要求的场景中。只有指纹识别技术普适性较好,但却存在诸多风险:(1)指纹模板本地明文保存,攻击者可通过远程访问方法侵入后截取相关数据;(2)门锁系统中存储的指纹信息有被破解或替换的可能;(3)光学指纹模组仅识别皮肤表层,可能被截取的指纹图像欺骗,防伪性能欠佳;(4)半导体指纹模组表层残存的指纹可能会被攻击者收集,再通过自制导电指纹膜绕过鉴权实现开锁。
4.联网式智能门锁易被黑客攻击联网式智能门锁支持的远程数字化认证开锁技术风险是最大的,上文中提到的3种智能门锁均有物理层的防护,而联网式智能门锁采用的是移动互联网应用,大量基于手机APP分发密码和密钥,实现远程云端认证开锁,使得攻击者可以绕开物理防护,直接攻击相应的APP客户端或手机等智能移动设备,获取开锁密码和密钥,危害极大。具体来说,主要有以下漏洞:(1)智能门锁APP软件未做安全加固或TEE(TEE可在连接设备中提供一个安全区域,确保敏感数据在隔离、可信的环境中存储、处理和保护——通过提供隔离的、安全执行的授权软件,实现端到端的安全)迁移,被篡改或植入木马;(2)智能移动设备存在漏洞,被木马、病毒攻击导致信息泄露;(3)不使用密钥加密体系或密码算法保护,直接与门锁终端或云端后台进行明文通讯、交互,泄露敏感信息;(4)蓝牙组件存在利用蓝牙嗅探器获取蓝牙通信数据实现重放攻击的风险;(5)Wi-Fi等通讯协议漏洞可被非法利用。
防范措施
对于智能门锁的用户而言,要不断强化安全意识,有效维护自身个人信息及财产安全,尤其要注意以下几点。
(1)由于搭载人脸识别功能和远程开锁功能的智能门锁安全风险较高,用户在使用相关功能时要慎重。(2)密码锁尽量选择具有输入错误报警和防破坏报警功能的锁具,设置相对复杂、位数多的密码,并定期更换。(3)在使用带有指纹识别功能的智能门锁时,应在日常使用中留意指纹识别模块是否存在残留异物或物理损坏,若发现指纹识别模块出现异常,应立即停止使用指纹识别功能,并联系生产厂商解决。(4)启用组合验证的开锁方式,如使用密码+指纹、密码+信息识别卡等双重身份验证。(李宇斐)
(来源:《保密科学技术》,图片来源:百度图库)
声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
