近期《紐約時報》刊出一篇名為“你家里的燈泡將來可能成為黑客攻擊目標(biāo)”的文章,文章稱某大學(xué)研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問題,有可能被黑客利用來控制燈泡等無線物聯(lián)網(wǎng)設(shè)備,隨著該文章的中文翻譯版本被國內(nèi)媒體轉(zhuǎn)載,也引起不少業(yè)內(nèi)人士和消費(fèi)者的討論和猜想,為使大家對ZigBee標(biāo)準(zhǔn)和技術(shù)有更為清晰正確的了解,ZigBee聯(lián)盟在昨天發(fā)表了正式聲明對此作出回應(yīng)。
ZigBee聯(lián)盟和其成員為創(chuàng)建和維護(hù)市場適用的物聯(lián)網(wǎng)各項(xiàng)標(biāo)準(zhǔn)一貫保持緊密聯(lián)系。聯(lián)盟關(guān)注到了近期被多個媒體引用的加拿大達(dá)爾豪斯大學(xué)魏茨曼學(xué)院(Weizmann Institute/Dalhousie University)的報告中所提及的問題。
ZigBee聯(lián)盟回應(yīng)飛利浦Hue Bulb黑客報告:不存在安全問題。
實(shí)際上,ZigBee各項(xiàng)標(biāo)準(zhǔn)均不存在報告所描述的缺陷。
該報告中提到的缺陷是某家芯片廠商應(yīng)用程序中的軟件錯誤導(dǎo)致的。這不是ZigBee協(xié)議的問題,而更多是實(shí)現(xiàn)的問題。就像許多技術(shù)平臺一樣,比如智能手機(jī)和日常計算設(shè)備,為了保證設(shè)備和系統(tǒng)的安全性,我們應(yīng)該使用最新的軟件版本并注意及時升級。所述攻擊利用了這個軟件升級的內(nèi)部接口缺陷,并不適用于整個系統(tǒng)或產(chǎn)品線。
該報告場景中所指的這款智能燈泡的問題已經(jīng)得到解決,并發(fā)送給所有使用該芯片協(xié)議棧的客戶。我們也已經(jīng)了解到,飛利浦Hue在其部分產(chǎn)品線中使用來自這家協(xié)議棧供貨商的軟件組件。飛利浦Hue已經(jīng)完成了補(bǔ)丁程序,并且將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標(biāo)準(zhǔn)本身并無需要更改的地方。
ZigBee聯(lián)盟和其成員一直高度重視安全問題。我們開發(fā)的標(biāo)準(zhǔn)和協(xié)議力求在易用性和設(shè)備連接安全性之間達(dá)到合適的平衡,在實(shí)現(xiàn)“智能”最大化的同時,保障關(guān)鍵安全性能。產(chǎn)品和解決方案實(shí)現(xiàn)其功能的背后,是由多個層次構(gòu)成的軟件實(shí)現(xiàn)。聯(lián)盟成員的產(chǎn)品一旦獲得ZigBee的認(rèn)證,就意味著該產(chǎn)品符合聯(lián)盟的技術(shù)要求,遵循標(biāo)準(zhǔn)所述的空中傳輸功能(over-the-air)。這之后到產(chǎn)品真正上市,生產(chǎn)商對應(yīng)用的具體實(shí)現(xiàn)具有多種選擇。
ZigBee技術(shù)由全球最成功的公司參與創(chuàng)建并得到廣泛應(yīng)用,成員公司都可以獲得最新的安全方案。ZigBee聯(lián)盟的技術(shù)工作組會主動積極地審閱ZigBee標(biāo)準(zhǔn)的安全框架和行業(yè)最佳實(shí)踐方法。作為一個開放標(biāo)準(zhǔn)的制定組織,我們十分歡迎這些來自各方的研究和分析。
聯(lián)盟及聯(lián)盟成員將繼續(xù)共同努力,確保成員能獲得現(xiàn)有標(biāo)準(zhǔn)所涉及的所有功能,并且最大限度地應(yīng)用安全措施,從而帶來更加安全和令人振奮的物聯(lián)網(wǎng)體驗(yàn)。我們也將持續(xù)努力幫助市場了解在迅猛發(fā)展的物聯(lián)網(wǎng)世界中無線網(wǎng)絡(luò)所特有的種種需求、臨界狀態(tài)和不確定因素。