近日,《紐約時(shí)報(bào)》報(bào)道了一篇名為“你家里的燈泡將來可能成為黑客攻擊目標(biāo)”的文章,文章稱某大學(xué)研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問題,有可能被黑客利用來控制燈泡等無線物聯(lián)網(wǎng)設(shè)備。隨著該消息幾經(jīng)報(bào)道后,已經(jīng)引起國(guó)內(nèi)外行業(yè)人士和消費(fèi)者的諸多討論和猜想。
隨后,為使大家對(duì)ZigBee標(biāo)準(zhǔn)和技術(shù)有更為清晰正確的了解,ZigBee聯(lián)盟在11月8日,就關(guān)于近期黑客攻擊燈泡報(bào)告所涉及的安全性問題言論進(jìn)行了聲明,表示:ZigBee各項(xiàng)標(biāo)準(zhǔn)均不存在報(bào)告所描述的缺陷。
ZigBee認(rèn)為,該報(bào)告中提到的缺陷是某家芯片廠商應(yīng)用程序中的軟件錯(cuò)誤導(dǎo)致的。這不是ZigBee協(xié)議的問題,而更多是實(shí)現(xiàn)的問題。所述攻擊利用了這個(gè)軟件升級(jí)的內(nèi)部接口缺陷,并不適用于整個(gè)系統(tǒng)或產(chǎn)品線。另外報(bào)告中提及到的這款智能燈泡的問題也已經(jīng)得到解決。飛利浦Hue已經(jīng)完成了補(bǔ)丁程序,并且將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標(biāo)準(zhǔn)本身并無需要更改的地方。
那么,ZigBee的安全性能是否有效地得到保證?如何解決zigbee的漏洞帶來的互聯(lián)網(wǎng)安全問題?這到底是互聯(lián)網(wǎng)通訊發(fā)展過程中的通病,還是只是個(gè)個(gè)案?
對(duì)此阿拉丁照明網(wǎng)新媒體記者采訪了復(fù)旦大學(xué)電光源研究所青年副研究員田朋飛老師(以下簡(jiǎn)稱“田老師”)、以及已經(jīng)在超市上有LiFi項(xiàng)目試點(diǎn)的廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷(以下簡(jiǎn)稱“許總”),就此事咨詢了他們的看法。
田老師表示,這一次《紐約時(shí)報(bào)》刊出的文章——《你家里的燈泡將來可能成為黑客攻擊目標(biāo)》,談到某大學(xué)研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問題。他并沒有感到多大的奇怪,因?yàn)閷?duì)很多關(guān)注無線通信協(xié)議的人來說,ZigBee其實(shí)已經(jīng)不是第一次出現(xiàn)問題了。
就在去年8月6日,三星旗下SmartThings公司以初創(chuàng)會(huì)員級(jí)別加入ZigBee聯(lián)盟,成為物聯(lián)網(wǎng)標(biāo)準(zhǔn)非營(yíng)利性組織ZigBee聯(lián)盟董事會(huì)的新成員。該事的發(fā)生不到一周,在世界信息安全行業(yè)最高盛會(huì),黑帽子大會(huì)上,Cognosec公司發(fā)表了論文,并指出ZigBee協(xié)議中的一個(gè)缺陷,稱 “該缺陷涉及多種類型的設(shè)備,黑客有可能以此危害ZigBee網(wǎng)絡(luò),并‘接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)’?!?/p>
ZigBee協(xié)議向來以可靠、安全以及保密著稱。當(dāng)然,這篇文章并沒有把矛頭直接通信協(xié)議,而是指出漏洞的來源是因?yàn)樯a(chǎn)商生產(chǎn)過程中,為了壓低成本并且與其他網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)通信連接所造成的。三星、飛利浦、摩托羅拉、德州儀器等制造商均在其產(chǎn)品中使用了ZigBee協(xié)議。
ZigBee在這幾年相比較與Wi-Fi、藍(lán)牙與射頻等無線通信技術(shù)協(xié)議,不可否認(rèn)地在智能家居領(lǐng)域賺足了眼球,而智能家居則是物聯(lián)網(wǎng)中最重要的組成部分。在前幾年的發(fā)展中,ZigBee鮮有負(fù)面消息,因此漸漸地被業(yè)界很多人認(rèn)為是最適合做智能家居的一個(gè)無線通信協(xié)議標(biāo)準(zhǔn)。另一方面,雖然ZigBee最初主要應(yīng)用在工業(yè)領(lǐng)域,但是由于不少實(shí)力公司,包括飛思卡爾、德州儀器、飛利浦與施耐德等的宣揚(yáng),樹立口碑,ZigBee在物聯(lián)網(wǎng)上的應(yīng)用對(duì)工程師們來說還是充滿著魅力。
田老師說:“采用AES 128加密算法的ZigBee的Key是16個(gè)字節(jié)的強(qiáng)密碼,在ZigBee實(shí)際進(jìn)行數(shù)據(jù)傳輸時(shí)通過暴力破解其網(wǎng)絡(luò)Key,據(jù)我所知還沒有先例,事實(shí)上,這也是一種效率極其低下的方式?!?/p>
那么ZigBee所謂的安全漏洞究竟出在那里呢?
田老師認(rèn)為有如下可能性存在。
第一,生產(chǎn)商為了壓低成本并且方便與其他設(shè)備通信所造成的。這里就可能會(huì)有如下的可能性,比如說,生產(chǎn)商為了方便他顧客的使用,或者說為了他公司生產(chǎn)的各個(gè)設(shè)備能夠互聯(lián),可能會(huì)規(guī)定他的某種聯(lián)網(wǎng)產(chǎn)品的初始密碼為統(tǒng)一的密碼。
其次,往往為了設(shè)備會(huì)有更好的用戶體驗(yàn),設(shè)備商也不會(huì)設(shè)置過長(zhǎng)的密碼長(zhǎng)度。你也不會(huì)想每一次登陸,取得設(shè)備的控制權(quán)時(shí)候,要輸入十六個(gè)密碼吧?
最后就是ZigBee網(wǎng)絡(luò)中存在一瞬間的不安全存在,也即在于設(shè)備之間需要通過一個(gè)連接密鑰來加密,每一次使用,你要么預(yù)先在設(shè)備中配置好,要么就在這一瞬間中通過明文傳送。因此,網(wǎng)絡(luò)中存在明文傳送的這一瞬間給了黑客們機(jī)會(huì)。
但無可否認(rèn)的是,ZigBee相對(duì)于其他的無線通訊協(xié)議來說,其安全性已經(jīng)是較高的了。我個(gè)人看法,為了解決ZigBee中存在的安全問題,可能可以有以下改進(jìn)的發(fā)展趨勢(shì)。網(wǎng)絡(luò)設(shè)備擁有主動(dòng)探測(cè)并應(yīng)付黑客的功能,也即在一個(gè)網(wǎng)絡(luò)設(shè)備被黑客入侵之后,他能夠發(fā)現(xiàn)并告訴同一網(wǎng)絡(luò)里面的其他設(shè)備,或者中斷與其他設(shè)備的通信功能,以此阻止病毒在網(wǎng)絡(luò)中的傳播。
當(dāng)然,用戶在選購(gòu)智能家居產(chǎn)品時(shí)需要更加謹(jǐn)慎,選擇比較好的品牌。ZigBee的產(chǎn)品開發(fā)成本高、周期長(zhǎng)、難度大,大多數(shù)初創(chuàng)企業(yè)較難承受開發(fā)風(fēng)險(xiǎn),這也是ZigBee技術(shù)目前在全球只有幾家企業(yè)掌握的原因。另一方面使用智能家居產(chǎn)品的同時(shí),也要有良好的習(xí)慣,設(shè)置相對(duì)復(fù)雜的密碼或定期修改密碼。
廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷許總則表示,軟件或者通信協(xié)議出現(xiàn)漏洞是常見的,就比如微軟windows系統(tǒng)經(jīng)常需要更新打補(bǔ)丁一樣,我們需要做的是及時(shí)的安裝軟件補(bǔ)丁。如果要在安全性上得到較大的提升,一般會(huì)考慮采用物理手段比如隔斷等,而這對(duì)于傳統(tǒng)的無線通信來說是一件非常難辦到的時(shí)候,無線信號(hào)無影無形無處不在。如果未來需要使用LiFi技術(shù)用于通信的話,那可以借助其得天獨(dú)厚的安全性方面的優(yōu)勢(shì),可以很容易的做到通信信號(hào)的隔離。
目前偉志光電的LiFi主要應(yīng)用在室內(nèi)定位,通過在LED燈內(nèi)植入控制電路,使LED燈成為我們的室內(nèi)定位衛(wèi)星,不停的通過燈光發(fā)送定位信息。在安全性當(dāng)面比起傳統(tǒng)無線通信優(yōu)勢(shì),因?yàn)長(zhǎng)iFi是通過可見光作為傳輸媒介,所見即所得,光信號(hào)的遮擋非常容易。
在報(bào)道中提及的ZigBee安全性問題里的無線通信應(yīng)用主要是用于通信控制,和偉志光電目前LiFi室內(nèi)定位應(yīng)用需求是不一樣的,偉志光電在安全性問題方面采用的是業(yè)界主流的安全手段,而在該應(yīng)用中的安全性主要是依靠支付寶以及微信自帶的安全機(jī)制,所以不會(huì)有類似的問題。偉志光電目前落地的應(yīng)用是超市導(dǎo)購(gòu),已經(jīng)在卜蜂蓮花黃岐店試點(diǎn)運(yùn)行。
許總還透露,目前該超市LiFi導(dǎo)購(gòu)系統(tǒng)的安全方面的考慮主要有以下兩個(gè)方面:
第一,定位系統(tǒng)只有下行的信號(hào),同時(shí)定位基站發(fā)送的信號(hào)本來就是要求所有人都能接受的,因此不存在任何保密信息。
第二,安全性主要體現(xiàn)在終端的信息處理以及支付過程。
田老師表示,近年來,物聯(lián)網(wǎng)的蓬勃發(fā)展將大量原來漏洞百出的系統(tǒng)暴露在網(wǎng)絡(luò)中,很多時(shí)候網(wǎng)絡(luò)漏洞存在的不僅僅是在通信協(xié)議上,它將以各種各樣的形式存在。在越來越多的人投入物聯(lián)網(wǎng)浪潮的時(shí)候,大量從事這些工作核心技術(shù)工程師,安全開發(fā)的意識(shí)比較缺乏,使得很多低級(jí)安全問題出現(xiàn)在物聯(lián)網(wǎng)設(shè)備中,因而這些設(shè)備的安全問題隨著物聯(lián)網(wǎng)的發(fā)展而不斷暴露。
《你家里的燈泡將來可能成為黑客攻擊目標(biāo)》一文中提及的ZigBee技術(shù)中存在安全問題,這可能并不是一種通病,但也不能說是一個(gè)個(gè)案。在無線通信網(wǎng)絡(luò)中不僅僅只存在ZigBee無線通信協(xié)議,也有可能存在很多過去的通信技術(shù),網(wǎng)絡(luò)技術(shù)與協(xié)議。因?yàn)槁┒创嬖诘姆绞降牟煌?,黑客們散播病毒的方式也不一樣?/p>
在萬物互聯(lián)的大背景下,作為一個(gè)新領(lǐng)域的老問題,隨著ZigBee等各種無線通信協(xié)議的廣泛應(yīng)用,網(wǎng)絡(luò)中還會(huì)有更多關(guān)于汽車交通安全、工業(yè)控制安全、醫(yī)療網(wǎng)絡(luò)安全與監(jiān)控?cái)z像頭安全等等,都會(huì)成為大家關(guān)注的熱點(diǎn)問題。而不僅僅是控制一個(gè)燈泡那么簡(jiǎn)單。當(dāng)然,不管怎么樣,這個(gè)領(lǐng)域的大量安全問題正等待著大家來發(fā)現(xiàn)。