【今日焦點】智能照明系統(tǒng)安全問題成發(fā)展絆腳石

　　近日，來自德國埃爾朗根-紐倫堡大學的一份研究論文《您所有的燈泡屬于我們：智能照明系統(tǒng)當前安全狀態(tài)調(diào)查》再次將智能照明系統(tǒng)的安全問題推上風口浪尖。該論文顯示，智能照明通信標準之一的ZigBee-Light-Link(以下簡稱ZLL，它是ZigBee聯(lián)盟針對照明行業(yè)開發(fā)的一種低功耗網(wǎng)狀網(wǎng)無線通信技術(shù))存在安全缺陷，該協(xié)議一旦被攻破就會導(dǎo)致整個照明系統(tǒng)被接管，你的智能燈泡也就不再是你的智能燈泡。

　　為了調(diào)查照明系統(tǒng)的安全狀態(tài)，埃爾朗根-紐倫堡大學的三名專業(yè)人士以飛利浦的Hue、歐司朗的Lightify以及通用電氣的GE-Link為對象進行了深入研究。但是結(jié)果表明，協(xié)議本身設(shè)計存在安全缺陷，并且攻擊距離也不是問題，最受歡迎的Hue距36米處也能被攻破。另外，論文還詳細交代了攻破ZLL協(xié)議的兩類方法——在無需密鑰信息支持情況下利用所謂的跨框架(inter-pan)中安全漏洞概念和通過獲取主密鑰信息實現(xiàn)對ZLL設(shè)備的控制。

　　對于此報道，飛利浦立即作出相關(guān)回應(yīng)，澄清這是與公司合作的研究單位所提出的可能性，并非發(fā)生中的事實，并且飛利浦的Hue系列產(chǎn)品也從未被病毒感染。研究人員在2016年年中聯(lián)絡(luò)飛利浦團隊，提出潛在的弱點，在這些相關(guān)發(fā)現(xiàn)對大眾揭露之前已完成補強。有關(guān)發(fā)展出能夠入侵Hue產(chǎn)品病毒以及用來入侵之情事皆與事實不符。另外，研究團隊的發(fā)現(xiàn)幫助飛利浦研發(fā)并更新軟體。

　　針對這一問題，ZigBee聯(lián)盟也在14日發(fā)表了正式聲明。ZigBee聯(lián)盟回應(yīng)飛利浦Hue Bulb不存在安全問題，并且ZigBee各項標準均不存在報告所描述的缺陷。該報告中提到的缺陷是某家芯片廠商應(yīng)用程序中的軟件錯誤導(dǎo)致，不是ZigBee協(xié)議的問題，而更多是實現(xiàn)的問題。就像許多技術(shù)平臺一樣，比如智能手機和日常計算設(shè)備，為了保證設(shè)備和系統(tǒng)的安全性，我們應(yīng)該使用最新的軟件版本并注意及時升級。所述攻擊利用了這個軟件升級的內(nèi)部接口缺陷，并不適用于整個系統(tǒng)或產(chǎn)品線。

　　另外，ZigBee聯(lián)盟還表示該報告場景中所指的這款智能燈泡的問題已經(jīng)得到解決，并發(fā)送給所有使用該芯片協(xié)議棧的客戶。飛利浦Hue在其部分產(chǎn)品線中使用來自這家協(xié)議棧供貨商的軟件組件，且已經(jīng)完成了補丁程序，并將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標準本身并無需要更改的地方。

　　在去年8月的2015黑帽大會，就有安全人員指出，ZigBee技術(shù)的實施方法中存在一個嚴重缺陷。其實是由于制造商為了生產(chǎn)出方便易用、可與其它聯(lián)網(wǎng)設(shè)備無縫協(xié)作的設(shè)備，同時又要最大化地壓低設(shè)備成本，而不顧及在安全層面上采用必要的安全性考量，從而造成ZigBee網(wǎng)絡(luò)存在安全風險。

　　雖然ZigBee聯(lián)盟給這兩次智能照明系統(tǒng)安全問題一個完美的“解釋”，但這耶無疑再次敲響了整個物聯(lián)網(wǎng)安全問題的警鐘。此前，這一類智能照明系統(tǒng)的安全曾多次被質(zhì)疑。

　　LIFX LED燈泡存安全風險

　　2014年7月，英國資安研究公司Context Information Security發(fā)布聲明警告所有物聯(lián)網(wǎng)相關(guān)公司，由LIFX公司所生產(chǎn)，支持無線連網(wǎng)的LED燈泡存在著安全風險。

　　這些由新創(chuàng)科技公司LIFX生產(chǎn)的LED燈泡，采用802.15.46LoWPAN網(wǎng)絡(luò)，只要監(jiān)聽網(wǎng)絡(luò)封包，即可透過這些燈泡發(fā)現(xiàn)加密的網(wǎng)絡(luò)設(shè)定訊息?；旧?，要了解所使用的加密方式，Context公司必須將兩個微控系統(tǒng)單元(TI及 STM，均為Cortex-M3)與JTAG測試用連接埠連線，一但連結(jié)上之后，就可以讀取加密演算法、金鑰和無線網(wǎng)狀網(wǎng)絡(luò)協(xié)定。這些資料將讓公司或企業(yè)可以置入網(wǎng)絡(luò)封包，而這些動作將不會被偵測到。

　　Context隨后和LIFX合作發(fā)布了韌體更新，已修補這個漏洞，現(xiàn)在所有6LoWPAN網(wǎng)絡(luò)都需要使用從Wi-Fi認證機構(gòu)導(dǎo)入的加密金鑰，而LIFX新生產(chǎn)的燈泡也已都加入此安全機制。

　　安全措施必須從一開始，就被建立在所有物聯(lián)網(wǎng)設(shè)備里，雖然目前看起來有許多物聯(lián)網(wǎng)公司都存在這樣的問題，但當安全問題被發(fā)現(xiàn)時，就能在使用者受害前提早修補。

　　“黑客”快速破解智能設(shè)備

　　2014年的“黑帽大會”上，一個演示團隊在45分鐘之內(nèi)成功破解了22個設(shè)備，令眾人惶恐智能系統(tǒng)的缺陷性。

　　歐司朗智能燈泡被發(fā)現(xiàn)存在重大安全漏洞

　　2016年7月，安全專家發(fā)現(xiàn)了歐司朗智能燈泡所存在的一個安全漏洞。Rapid7的首席安全顧問Deral Heiland表示，如果該漏洞被黑客所利用，那他們就能訪問用戶的家庭或企業(yè)網(wǎng)絡(luò)。最壞的情況是，這將讓它們控制產(chǎn)品發(fā)動針對瀏覽器的攻擊。此外，黑客還能在數(shù)分鐘之內(nèi)破解用戶的Wi-Fi密碼，如果該密碼同時被使用在了其他的網(wǎng)站和服務(wù)當中(幾率很高)，那這也就帶來了額外的風險。

　　不過Heiland提到，歐司朗目前已經(jīng)知曉該漏洞的存在，并將在下一輪的安全升級當中對包括它在內(nèi)的幾個重大安全漏洞進行修復(fù)。

　　結(jié)語：

　　目前物聯(lián)技術(shù)還處于初級發(fā)展階段，并沒有建立起一套完善的安全標準，同時由于網(wǎng)絡(luò)天然的缺陷性，容易受到黑客攻擊，因此集成大數(shù)據(jù)的智慧系統(tǒng)、智能云平臺等的安全問題成為各界關(guān)注的焦點，也是智能照明往前發(fā)展的一大絆腳石。智能系統(tǒng)的安全標準需要被認真看待，也需要照明企業(yè)、智能方案服務(wù)商、云平臺等相關(guān)企業(yè)之間的通力合作。