智能门锁移动互联网安全风险及加固策略研析

http://www.homea.hc360.com2019年03月25日18:06 来源:亿欧网T|T

    近几年,智能门锁市场发展迅猛。随着物联网时代的临近,各行各业都在谋求智能化转型,智能门锁逐渐成为大众关注的焦点。智能锁市场巨大的增长空间不可小觑,但作为守护人身、财产安全的重要环节,随之而来的安全保障也成为智能门锁发展的关键点。

    智能门锁发展态势 应用中主要风险

    智能门锁是区别于传统机械锁的基础上改进而来,其核心功能是“无钥匙开锁”,联网之后可实现分发开锁权限、获得门锁状态、与其他设备联动,基于这四大功能,又发散出诸多具体功能。根据2018年的调查数据显示,已有超过2000家企业进入智能门锁领域。2019年整个智能门锁市场会超过2900万台,到2020年,整个智能门锁会超过4000万台,市场规模将达到400亿,未来发展空间巨大。

数据来源:全国锁业信息中心

数据来源:全国锁业信息中心

    按照客户进行分类,智能门锁分为家庭智能门锁和公寓智能门锁,家庭锁的客户是我国居民家庭,公寓锁的客户是我国长短租公寓运营主体,“公寓”口径是所有B端(商家)运营的用于出租的居民住房,包括集中式和分散式的公寓。

智能门锁移动互联网安全风险及加固策略研析

    智能门锁功能实现主要包括智能门锁设备、智能家庭网关、手机APP和云端服务等组件。按功能分层可分为感知层、传输层和应用层,其中传输层与应用层技术为现有互联网技术,感知层用户身份认证方式主要有固定密码、临时密码、指纹、掌纹、人脸、RFID、NFC和APP等,近场接入技术主要有WIFI、蓝牙、Zigbee、433Mhz和315MHz等。

智能门锁移动互联网安全风险及加固策略研析

    根据智能门锁的功能实现相关主要组建分析,其安全风险可以划分为以下五个方面:

    (1)智能门锁安全风险(针对智能门锁设备的攻击);

    (2)移动应用安全风险(针对智能门锁手机APP的攻击);

    (3)近场通信安全风险(针对WIFI、ZigBee、蓝牙等通信方式的攻击);

    (4)网络安全风险(针对家庭智能网关和有线数据拦截的攻击);

    (5)应用安全风险(针对智能门锁云平台的攻击)。

    针对移动互联网相关的安全风险进行进一步风险与案例进行分析,主要包括以下几个方面:

    1、移动应用安全风险

    移动应用APP中存在各种常见的安全风险,如:移动端APP代码中或者固件中使用固定的加解密密钥;移动端APP代码没有采用加固和混淆技术使得代码被完整逆向,进而了解并破解开锁机制然后构造控制指令进行攻击;开发人员遗留的代码BUG问题,有可能导致绕过相关权限验证;移动端操作系统出现相关漏洞,导致被植入恶意代码进而控制手机实现攻击;移动端APP和设备之间的认证问题,如果移动端APP和设备之间的认证过程出现漏洞,这就容易导致中间人攻击,即伪造一个假移动端APP和真实设备进行通信达到欺骗目的进而实现攻击。

    攻击者利用智能门锁对应的APP存在的这些漏洞或缺陷,绕过智能门锁、APP和云端服务预先设定的逻辑,实现非授权的开锁操作。

    2、网络通信安全风险

    有的智能门锁直接通过WIFI信号连接到互联网,而其它通信方式的门锁连接到相应的网关后,也会通过WIFI信号连接到互联网,与此同时,手机APP在家时,也会通过WIFI连接到智能门锁和云端服务器。考虑到大量的智能门锁通信协议采用明文传输,或者加密传输过程中存在漏洞,通过攻击WIFI路由器、智能家居网关,或者截持WIFI信号,可以实现对智能门锁的控制。

    3、云平台服务安全风险

    (1)用户身份鉴别漏洞

    未限制密码复杂度,未限制非法登陆次数,重置密码的短信验证码又本地产生或者存在于返回数据包中。

    (2)访问控制漏洞

    后端信息系统没有对数据包中重要访问控制参数进行校验,导致越权操作。还有存在远程代码执行漏洞,可进行root权限命令执行。重要回话信息被劫持。

    (3)云管理平台系统存在web安全问题

    常见的web安全漏洞同样存在于智能门锁云管理平台,例如,SQL注入、任意文件上传、失效的身份验证和回话管理、跨站脚本攻击、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已经存在漏洞的组件和未验证的重定向和转发等漏洞。

责任编辑:李群

上一页123下一页

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

相关阅读