zigbee嚴重漏洞，物聯(lián)網(wǎng)安全堪憂

1、<p>　　ZigBee嚴重漏洞，物聯(lián)網(wǎng)安全堪憂</p><p>　　[導讀] 2015黑帽大會(BlackHat2015)上暴露出了不少的物聯(lián)網(wǎng)和智能硬件方面的安全隱患問題。除了特斯拉之外，ZigBee也被曝光說存在嚴重漏洞。這種漏洞可能引發(fā)物聯(lián)網(wǎng)危機問題。ZigBee作為連接人們身邊的日常用品、終端設備、</p><p>　　2015黑帽大會(BlackHat201

2、5)上暴露出了不少的物聯(lián)網(wǎng)和智能硬件方面的安全隱患問題。除了特斯拉之外，ZigBee也被曝光說存在嚴重漏洞。這種漏洞可能引發(fā)物聯(lián)網(wǎng)危機問題。ZigBee作為連接人們身邊的日常用品、終端設備、家用電器等設備所廣泛使用的重要無線互聯(lián)標準之一，被曝出存在嚴重的安全漏洞，引發(fā)了業(yè)內(nèi)的廣泛關注。</p><p>　　伴隨科技的快速演進，物聯(lián)網(wǎng)(The Internet of Things，IoT)概念再次興起，人們身邊的日

3、常用品、終端設備、家用電器等也逐步被賦予了網(wǎng)絡連接的能力。然而作為連接上述設備所廣泛使用的重要無線互聯(lián)標準之一，ZigBee技術卻于近期召開的2015黑帽大會(BlackHat2015)上被曝出存在嚴重的安全漏洞，引發(fā)了業(yè)內(nèi)的廣泛關注。</p><p>　　ZigBee被曝出有嚴重的安全漏洞</p><p>　　ZigBee是一種低成本、低功耗、近距離的無線組網(wǎng)通訊技術。由于其名稱(Zig

4、Bee，Zig“嗡嗡”，Bee“蜜蜂”)來源于蜜蜂的八字舞，所以該協(xié)議又被稱為紫蜂協(xié)議。在理論層面上來說，它是基于IEEE802.15.4標準的低功耗局域網(wǎng)協(xié)議，主要適合用于自動控制和遠程控制領域，可以嵌入各種設備中進行數(shù)據(jù)的通訊傳輸。目前ZigBee協(xié)議已廣泛存在于諸如智能燈泡、智能門鎖、運動傳感器、溫度傳感器等大量新興的物聯(lián)網(wǎng)設備中。</p><p>　　ZigBee是目前重要的無線通訊協(xié)議之一</p&

5、gt;<p>　　然而就在各家公司仍舊將關注點集中在上述設備的連通性、兼容性等方面之時，卻沒有注意到一些常用的通訊協(xié)議在安全方面的進展上則處于滯后狀態(tài)。這不，在剛剛結束的2015黑帽大會上，就有安全研究人員指出，在ZigBee技術的實施方法中存在一個嚴重缺陷。而該缺陷涉及到多種類型的設備中，黑客有可能以此危害ZigBee網(wǎng)絡，并“接管該網(wǎng)絡內(nèi)所有互聯(lián)設備的控制權”。</p><p>　　研究人員表示

6、，通過對每一臺設備評估得出的實踐安全分析表明，利用ZigBee技術雖然為設備的快速聯(lián)網(wǎng)帶來了便捷，但由于缺乏有效的安全配置選項，致使設備在配對流程存在漏洞，黑客將有機會從外部嗅探出網(wǎng)絡的交換密鑰。而ZigBee網(wǎng)絡的安全性則完全依賴于網(wǎng)絡密鑰的保密性，因此這個漏洞的影響將非常的嚴重。</p><p>　　硬傷竟是源于使用默認鏈路密鑰</p><p>　　在安全人員的分析中，他們指出具體問題

7、在于，ZigBee協(xié)議標準要求支持不安全的初始密鑰的傳輸，再加上制造商對默認鏈路密鑰的使用——使得黑客有機會侵入網(wǎng)絡，通過嗅探某個設備破解用戶配置文件，并使用默認鏈路密鑰加入該網(wǎng)絡。</p><p>　　然而，默認鏈路密鑰的使用給網(wǎng)絡密鑰的保密性帶來了極大的風險。因為ZigBee的安全性很大程度上依賴于密鑰的保密性，即加密密鑰安全的初始化及傳輸過程，因此這種開倒車的默認密鑰使用機制必須被視作嚴重風險。</p

8、><p>　　安全人員表示，如果攻擊者能夠嗅探一臺設備并使用默認鏈路密鑰加入網(wǎng)絡，那么該網(wǎng)絡的在用密鑰就不再安全，整個網(wǎng)絡的通信機密性也可以判定為不安全。</p><p>　　可實際上，ZigBee協(xié)議標準本身的設計問題并不是引發(fā)上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商為了生產(chǎn)出方便易用、可與其它聯(lián)網(wǎng)設備無縫協(xié)作的設備，同時又要最大化地壓低設備成本，而不顧及在安全層面上采用必要的

9、安全性考量。</p><p>　　安全人員指出，在對智能燈泡、智能門鎖、運動傳感器、溫度傳感器等所做的測試中顯示，這些設備的供應商僅部署了最少數(shù)量的要求認證的功能。其它提高安全級別的選項都沒被部署，也沒有開放給終端用戶。而這種情況下所帶來的安全隱患，其嚴重程度將是非常高的。</p><p>　　綜上，正如無線路由器會曝出存在默認管理密碼的安全漏洞一樣，現(xiàn)在被部署于大量智能設備中的ZigBe

10、e協(xié)議也被設備制造商隨意濫用，導致使用該協(xié)議的家用或企業(yè)級互聯(lián)設備暴露在惡意攻擊者的覬覦之下。由此可見，在確保智能設備獲得出色的互通性與普及性同時，如何還能為消費者兼顧安全層面上的可靠防護，才是當前智能設備廠商最該做的。</p><p>　　藍牙、Wifi與ZigBee上演三國殺，誰將一統(tǒng)物“聯(lián)”天下?</p><p>　　中國的物聯(lián)網(wǎng)市場究竟有多大?僅就市場規(guī)模而言，在2012年，我國的

11、物聯(lián)網(wǎng)市場規(guī)模就已達3650億元，而據(jù)多家第三方機構預測，2015年我國物聯(lián)網(wǎng)市場規(guī)模將突破7500億元，未來5年內(nèi)，市場規(guī)模更是有望突破萬億元大關，未來物聯(lián)網(wǎng)產(chǎn)業(yè)的年復合增長率超過30%，物聯(lián)網(wǎng)前景可謂無可限量!</p><p>　　何為物聯(lián)網(wǎng)?物聯(lián)網(wǎng)是指通過射頻識別、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息傳感設備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)相連接，進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)

12、控和管理的一種網(wǎng)絡概念，在此，我們可以將其簡單的理解為通過物與物的聯(lián)接來實現(xiàn)各種不同功能的應用。</p><p>　　那么物與物之間是通過哪些方式來進行聯(lián)接的呢?兩種方式，其一是有線聯(lián)接方式，比如通過網(wǎng)線將你的電腦接入互聯(lián)網(wǎng)或者通過同軸電纜將攝像機接入監(jiān)控平臺等;其二是無線聯(lián)接方式，比如你的手機可通過無線WIFI實現(xiàn)上網(wǎng)等。</p><p>　　有線聯(lián)接的優(yōu)勢主要體現(xiàn)在穩(wěn)定性、可靠性與傳輸

13、速度上，但由于其采用了實體的聯(lián)接方式，便利性與實用性是其致命傷。隨著無線技術在穩(wěn)定性、可靠性與速度上的進化，在未來的物聯(lián)網(wǎng)應用中，應該說留給有線聯(lián)接方式的發(fā)展空間已不大(當然也不會消失)。而在當下的物聯(lián)網(wǎng)應用中，無線傳輸技術可謂眾多，但細數(shù)下來，筆者以為應用范圍最廣且最具潛力的無非是藍牙、Wifi與ZigBee三種，這三種無線傳輸技術在物聯(lián)網(wǎng)應用中上演著三國殺的大戲，那么究竟誰將一統(tǒng)物“聯(lián)”天下?</p><p>

14、;　　三國殺之曹魏：WIFI</p><p>　　WIFI無線技術在當下的應用可謂極其廣泛，其可將個人電腦、路由器、手持設備等終端以無線方式進行互相連接，WIFI是一種高頻無線電信號，它擁有最為廣泛的用戶與群眾基礎，就像三國時代的曹魏，人多勢眾，實力雄厚，來勢洶洶。</p><p>　　在技術上，WIFI的主要優(yōu)勢體現(xiàn)在傳輸速度與傳輸距離上，其最大傳輸距離可達300m，最大傳輸速度可達30

15、0Mbps，弱點則體現(xiàn)在功耗上，其最大功耗為50mA。</p><p><b>　　三國殺之蜀漢：藍牙</b></p><p>　　盡管在手機及電腦領域中，藍牙的應用并不普遍，幾乎都快被人遺忘，但就像三國時代的蜀漢一樣，藍牙的血統(tǒng)高貴，默默無聞卻從不放棄，不斷地開疆拓土，如今可謂有所成，由1.0版本發(fā)展到當下最新的4.2版本，功能也越來越強大，其中4.2版本中，藍牙大

16、大加強了物聯(lián)網(wǎng)應用特性，可實現(xiàn)IP聯(lián)接及網(wǎng)關設置等諸多新特性。</p><p>　　跟WIFI相比，藍牙的優(yōu)勢主要體現(xiàn)在功耗及安全性上，相對WIFI最大50mA的功耗，藍牙最大20mA的功耗要小得多，但在傳輸速度與距離上的劣勢也較明顯，其最大傳輸速度與最遠傳輸距離分別為1Mbps及100m。</p><p>　　三國殺之東吳：ZigBee</p><p>　　相對W

17、IFI與藍牙而言，ZigBee可算新貴了，這個新貴風度翩翩，前途無量，就像三國殺中的東吳一般年輕有為、野心勃勃!ZigBee作為一種無線通訊技術，目前其主要應用在智能家居領域，與眾多的智能家居設備商有著良好的合作關系。</p><p>　　作為一種短距離的無線通訊技術，ZigBee的優(yōu)勢體現(xiàn)在低復雜度、自組織、高安全性、低功耗上，此外ZigBee還具備組網(wǎng)和路由特性，可以方便地嵌入到各種設備中，在功耗表現(xiàn)上，Zi

18、gBee在三者中表現(xiàn)最好，安全性則在WIFI與藍牙之間。</p><p>　　誰將一統(tǒng)物“聯(lián)”天下?</p><p>　　由此可見，藍牙、Wifi與ZigBee這三種無線傳輸技術依據(jù)各自在技術上的優(yōu)勢，從而在物聯(lián)網(wǎng)的不同應用中發(fā)揮所長，但它們彼此之間的競爭關系卻是毋容置疑的，正所謂天下大勢，分久必合!那么在藍牙、Wifi與ZigBee中，哪種無線傳輸技術將一統(tǒng)物“聯(lián)”天下?抑或是還會出現(xiàn)第