國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室
啟明星辰積極防御實(shí)驗(yàn)室(ADLab)
北京同余科技有限公司
云丁網(wǎng)絡(luò)技術(shù)(北京)有限公司
引言
2016年起,隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)的不斷成熟和廣泛應(yīng)用,加上資本的助推,智能家居異軍突起,成為新興產(chǎn)業(yè)勢力。智能門鎖作為智能家居產(chǎn)業(yè)中的代表性產(chǎn)品之一,發(fā)展?jié)摿Ψ浅>薮螅?017年智能門鎖產(chǎn)值超過百億元,市場規(guī)模接近800萬把,預(yù)計2020年智能門鎖市場規(guī)模將達(dá)到4000萬把。
智能門鎖是一個典型的物聯(lián)網(wǎng)系統(tǒng),其整個系統(tǒng)由感知層、傳輸層和應(yīng)用層組成,包括智能門鎖設(shè)備、智能家庭網(wǎng)關(guān)、手機(jī)APP和云端服務(wù)等組件。其中傳輸層與應(yīng)用層技術(shù)為現(xiàn)有互聯(lián)網(wǎng)技術(shù),相對成熟穩(wěn)定。在感知層,用戶身份認(rèn)證方式主要有固定密碼、臨時密碼、指紋、掌紋、人臉、RFID、NFC和APP等,近場接入技術(shù)主要有WIFI、藍(lán)牙、Zigbee、433Mhz和 315MHz等。隨著智能門鎖的流行,各種安全隱患也不斷被暴露出來,指紋復(fù)制、密碼猜解、強(qiáng)磁干擾、APP漏洞、近場通信劫持、WIFI流量劫持和云端服務(wù)漏洞等各種智能門鎖的安全事件已經(jīng)被媒體廣泛報道。
智能門鎖的安全將會直接導(dǎo)致個人和家庭的生命財產(chǎn)安全,其重要性勿需多言。本報告重點(diǎn)關(guān)注智能門鎖的網(wǎng)絡(luò)安全問題,首先分析了智能門鎖的發(fā)展趨勢,梳理了智能門鎖的各種開鎖技術(shù)。接下來深入分析了智能門鎖的各項(xiàng)聯(lián)網(wǎng)技術(shù),并根據(jù)智能門鎖的組網(wǎng)體系架構(gòu)提出了其安全風(fēng)險模型,同時結(jié)合具體的智能門鎖安全漏洞進(jìn)行案例驗(yàn)證分析。最后從個人用戶、廠商和行業(yè)主管等幾個方面分別提出了幾點(diǎn)智能門鎖網(wǎng)絡(luò)安全的建議,希望能給智能門鎖行業(yè)提供一些參考。
1、智能門鎖市場現(xiàn)狀與發(fā)展趨勢
智能門鎖是指區(qū)別于傳統(tǒng)機(jī)械鎖的基礎(chǔ)上改進(jìn)的一類門鎖,在用戶安全性、識別性和管理性方面更加智能化和簡便化的鎖具。廣義上說,具有指紋門鎖、密碼門鎖、藍(lán)牙門鎖或者APP互聯(lián)網(wǎng)門鎖等任一功能的門鎖均可稱為智能門鎖。
據(jù)《鯨準(zhǔn)研究院-2018中國智能門鎖行業(yè)深度研究報告》數(shù)據(jù),2017年智能門鎖銷量約800萬套,行業(yè)總產(chǎn)值超過100億元,在2016年的基礎(chǔ)上實(shí)現(xiàn)了翻倍增長,2018年有望繼續(xù)翻倍。截至2018年6月底,我國4億家庭智能門鎖滲透率在5%左右,3000萬套B端運(yùn)營的租賃公寓滲透率在10%左右,未來發(fā)展空間巨大。
到2020年,我國智能門鎖年銷量將超過 4000萬套,市場規(guī)模將超400億元。2018、2019和2020三年將是智能門鎖發(fā)展的黃金三年,到2022年,我國4億家庭的智能門鎖滲透率將達(dá)到35%,達(dá)到2018年歐美的水平,公寓端的滲透率將超過50%。
從技術(shù)發(fā)展趨勢方面說,智能門鎖的聯(lián)網(wǎng)方式目前主要是WIFI和藍(lán)牙,此外還有Zigbee、433MHz和 315MHz等,由于WIFI和NB-IoT優(yōu)勢非常明顯,未來將會成為智能門鎖的主流聯(lián)網(wǎng)方式。
2、智能門鎖技術(shù)發(fā)展現(xiàn)狀
2.1 智能門鎖組網(wǎng)技術(shù)
智能門鎖的整體組網(wǎng)為典型的物聯(lián)網(wǎng)三層結(jié)構(gòu),即感知層、傳輸層和應(yīng)用層。其中感知層由智能門鎖和智能手機(jī)APP組成,傳輸層包括家庭智能網(wǎng)關(guān)和移動通信基站等,應(yīng)用層即為智能門鎖云平臺。下圖列示了現(xiàn)在常見的智能門鎖的聯(lián)網(wǎng)方案,不同廠商不同型號的門鎖往往選擇其中一種或幾種連接方式實(shí)現(xiàn)聯(lián)網(wǎng)。
圖2-1 典型的智能門鎖組網(wǎng)技術(shù)
在感知層,由于受到功耗的限制,大部分智能門鎖采用電池供電,其通信方式主要有藍(lán)牙、ZigBee、NB-IoT、433MHz和315MHz等。也有部分門鎖有條件采用交流電供電,該類門鎖通常采用WIFI方式與云端進(jìn)行通信。
在傳輸層,其通信方式主要有家用寬帶(WIFI/以太網(wǎng))和移動通信(3G/4G)。
應(yīng)用層即智能門鎖的云端服務(wù),主要負(fù)責(zé)智能門鎖的設(shè)備接入、身份認(rèn)證、邏輯控制、數(shù)據(jù)分析和業(yè)務(wù)展示等。目前智能門鎖云端服務(wù)主要部署在云上,如阿里云、AWS、Azure和騰訊云等,以及各廠商自己的私有云上。
2.2 智能門鎖開鎖模式
2.2.1 固定密碼開鎖模式
用戶在安裝固定密碼智能門鎖的時候,需要先進(jìn)行門鎖初始化,并完成密碼設(shè)置,該密碼存儲在智能門鎖的固態(tài)存儲空間,同時也會上傳到云端進(jìn)行存儲。
在用戶開鎖時,在門鎖上輸入密碼,如果輸入的密碼與預(yù)先設(shè)置的密碼一致,則可打開門鎖。
圖2-2 固定密碼開鎖模式
2.2.2 臨時密碼開鎖模式
在臨時密碼開鎖模式下,戶主會通過手機(jī)APP從云端獲取當(dāng)前時段開鎖的臨時密碼,并通過短信、微信或者手機(jī)APP等方式將臨時密碼發(fā)送給訪客。
訪客在門鎖上輸入接收到的臨時密碼后,門鎖會將該密碼與云端自動生成的當(dāng)前時段臨時密碼進(jìn)行對比,如果成功,則開鎖。
圖2-3 臨時密碼開鎖模式
2.2.3 生物鑰匙開鎖模式
目前,市面上常用且穩(wěn)定可靠的智能門鎖開鎖生物特征主要有指紋、掌紋、虹膜和人臉等。
該類門鎖在安裝的過程中,會將指紋、掌紋、虹膜和人臉等生物特征初始化到智能門鎖固態(tài)存儲或者云端。
用戶開鎖時,門鎖需要采集用戶的指紋、掌紋、虹膜和人臉特征,并傳統(tǒng)到云端與初始化特征進(jìn)行對比,如果對比成功,則開鎖。
圖2-4 生物鑰匙開鎖模式
2.2.4 智能卡鑰匙開鎖模式
用于智能門鎖開鎖的智能卡主要有RFID卡、NFC卡和CPU卡三類,該類門鎖主要應(yīng)用在酒店和公寓等場景。
使用RFID卡的門鎖,門禁管理系統(tǒng)會在RFID卡中寫入代表該卡身份的字符串,在開鎖時,門鎖提取RFID卡中的字符串,并傳輸?shù)皆贫诉M(jìn)行對比,對比成功,則開鎖。
使用NFC卡和CPU卡的門鎖,門禁管理系統(tǒng)會在NFC卡和CPU卡中寫入代表該卡身份的私鑰和公鑰,在開鎖時,該卡通過門鎖與云端進(jìn)行雙向身份認(rèn)證,如果認(rèn)證成功,門鎖接收到云端的開鎖指令,打開門鎖。
圖2-5 智能門禁卡開鎖模式
2.2.5 手機(jī)APP開鎖模式
采用手機(jī)APP開鎖的門鎖,在初始化的過程中,云端會將門鎖與指定手機(jī)上的APP進(jìn)行綁定。
在用戶開鎖時,用戶在手機(jī)APP上完成身份認(rèn)證,然后在手機(jī)上點(diǎn)擊開鎖按鈕,智能門鎖就會接收到云端下發(fā)的開鎖指令,然后打開門鎖。
圖2-6 手機(jī)APP開鎖模式
3、智能門鎖安全風(fēng)險與案例分析
3.1 安全風(fēng)險模型
根據(jù)智能門鎖的組網(wǎng)體系架構(gòu),其安全風(fēng)險可以劃分為以下五個方面:智能門鎖安全風(fēng)險(針對智能門鎖設(shè)備的攻擊)、移動應(yīng)用安全風(fēng)險(針對智能門鎖手機(jī)APP的攻擊)、近場通信安全風(fēng)險(針對WIFI、ZigBee、藍(lán)牙、433和315等通信方式的攻擊)、網(wǎng)絡(luò)安全風(fēng)險(針對家庭智能網(wǎng)關(guān)和有線數(shù)據(jù)攔截的攻擊)和應(yīng)用安全風(fēng)險(針對智能門鎖云平臺的攻擊)。
圖3-1 智能門鎖網(wǎng)絡(luò)安全風(fēng)險模型
3.2 智能門鎖安全風(fēng)險
3.2.1 生物鑰匙攻擊
智能門鎖的常用生物鑰匙中,虹膜和人臉的偽造難度較高,已知的攻擊風(fēng)險較小,但指紋和掌紋有較高的偽造風(fēng)險,難度低,已經(jīng)比較常見。
圖3-2 指紋識別攻擊
3.2.2 固定密碼安全
在使用固定密碼的智能門鎖中,經(jīng)常出現(xiàn)使用默認(rèn)密碼、后門密碼、密碼邏輯漏洞和短密碼等問題,并存在密碼泄漏等現(xiàn)象。
圖3-3 固定密碼攻擊
3.2.3 固件竊取和逆向
攻擊者拆開智能門鎖后,通過專用工具從固件存儲器中讀取固件內(nèi)容,然后逆向分析固件存在的漏洞,再結(jié)合其它攻擊手段對漏洞進(jìn)行利用。
圖3-4固件讀取
3.2.4 無線饋電攻擊
(1)原理分析
無線饋電是一項(xiàng)應(yīng)用廣泛的技術(shù),包括電磁爐、無線充電、非接觸卡等。一些智能門鎖由于設(shè)計缺陷,在布線及電路設(shè)計時沒有考慮電磁干擾問題。攻擊者可以利用特斯拉線圈通過無線電波干擾,使得智能門鎖的內(nèi)部電路產(chǎn)生直流饋電。
如果這種直流饋電足夠高,將觸發(fā)智能門鎖小型電機(jī)驅(qū)動鎖芯實(shí)現(xiàn)開鎖?;蛘邔?dǎo)致MCU的邏輯異常而重啟,有的智能門鎖默認(rèn)重啟后會自動開鎖。
圖3-5 開鎖電路圖
(2)案例分析
2018年5月26日,第九屆中國(永康)國際門業(yè)博覽會上,一位女士以一個小黑盒連續(xù)打開了多家品牌的智能門鎖,最短的時間只有3秒,一篇名為《那個女人毀了整個指紋鎖行業(yè)》的文章迅速躥紅,成為智能門鎖圈的惡夢。
“小黑盒”的原理是特斯拉線圈通電后,可能產(chǎn)生兩種效果:一是利用智能門鎖電路的饋電系統(tǒng)驅(qū)動電流打開門鎖;二是該線圈產(chǎn)生強(qiáng)電磁脈沖攻擊智能門鎖芯片,會造成芯片死機(jī)并重啟,有的智能門鎖默認(rèn)重啟后會自動開鎖。
圖3-6 “小黑盒”開鎖圖
3.3 移動應(yīng)用安全風(fēng)險
(1)原理分析
移動應(yīng)用APP中存在各種常見的安全風(fēng)險,如:移動端APP代碼中或者固件中使用固定的加解密密鑰;移動端APP代碼沒有采用加固和混淆技術(shù)使得代碼被完整逆向,進(jìn)而了解并破解開鎖機(jī)制然后構(gòu)造控制指令進(jìn)行攻擊;開發(fā)人員遺留的代碼BUG問題,有可能導(dǎo)致繞過相關(guān)權(quán)限驗(yàn)證;移動端操作系統(tǒng)出現(xiàn)相關(guān)漏洞,導(dǎo)致被植入惡意代碼進(jìn)而控制手機(jī)實(shí)現(xiàn)攻擊;移動端APP和設(shè)備之間的認(rèn)證問題,如果移動端APP和設(shè)備之間的認(rèn)證過程出現(xiàn)漏洞,這就容易導(dǎo)致中間人攻擊,即偽造一個假移動端APP和真實(shí)設(shè)備進(jìn)行通信達(dá)到欺騙目的進(jìn)而實(shí)現(xiàn)攻擊。
攻擊者利用智能門鎖對應(yīng)的APP存在的這些漏洞或缺陷,繞過智能門鎖、APP和云端服務(wù)預(yù)先設(shè)定的邏輯,實(shí)現(xiàn)非授權(quán)的開鎖操作。
(2)案例分析
某品牌智能門鎖存在密碼重置漏洞(漏洞編號CNVD-2017-03908)。我們通過逆向智能門鎖APP,分析其代碼邏輯及智能門鎖APP與云端網(wǎng)絡(luò)交互的報文,掌握了相關(guān)云端接口的定義。發(fā)現(xiàn)該品牌鎖的某個業(yè)務(wù)接口缺少用戶合法性驗(yàn)證,攻擊者可以利用已經(jīng)掌握的用戶信息,繞過合法性驗(yàn)證進(jìn)行密碼重置。攻擊者利用重置后的密碼完成登錄后,可以進(jìn)行開鎖和修改用戶信息等操作。在此研究基礎(chǔ)上,我們又做了進(jìn)一步的安全分析,發(fā)現(xiàn)了一個影響更大的安全問題:攻擊者通過該漏洞可以獲取該智能門鎖產(chǎn)品的全部用戶資料,包括手機(jī)號和開門密碼。由于該漏洞不依賴手機(jī)驗(yàn)證碼,這種攻擊具有更大的隱蔽性,因此危害更大。
圖3-7 移動應(yīng)用安全案例
3.4 近場通信安全風(fēng)險
3.4.1 RFID門鎖攻擊
(1)原理分析
RFID卡中存儲代表持卡人身份信息的字符串,而一般的RFID卡中的信息以明文形式存儲,或者僅經(jīng)過簡單處理后存儲,攻擊者可以讀取其中的信息,并復(fù)制到其卡片中,從而獲取持卡人的授權(quán)。
(2)案例分析
某品牌智能門鎖為RFID門鎖,測試人員從淘寶上購買簡單的RFID讀寫器,即可從已有的RFID卡中讀取信息,并寫入到新的RFID卡中,并通過新的RFID正常打開門鎖。
該類RFID卡常常以小區(qū)門禁、樓宇門禁和酒店房卡等形式出現(xiàn),造成的影響面極大。
圖3-8讀取門禁卡信息
3.4.2 315Mhz無線電門鎖攻擊
(1)原理分析
無線電門鎖響應(yīng)指定的無線電信號,而一般的無線電門鎖的信號是固定的,攻擊者可以重放無線電信號或?qū)π盘栠M(jìn)行簡單處理,從而偽造真實(shí)用戶開關(guān)門鎖的行為。
(2)案例分析
某品牌智能門鎖存在無線電信號重放攻擊漏洞(漏洞編號CNVD-2018-02695)。該門鎖為無線電門鎖,測試人員從淘寶上購買簡單的無線電收發(fā)器,即可抓取無線電門鎖開關(guān)門信號,并存儲此無線電數(shù)據(jù)包到本地,通過重放包含開鎖信號的無線電數(shù)據(jù)包即可打開門鎖。
該類無線電門鎖常常以車庫門禁、家庭門禁和汽車門等形式出現(xiàn),這種攻擊行為可形成巨大安全隱患。
圖3-9 利用無線電工具重放信號開鎖
3.5 網(wǎng)絡(luò)通信安全風(fēng)險
(1)原理分析
有的智能門鎖直接通過WIFI信號連接到互聯(lián)網(wǎng),而其它通信方式的門鎖連接到相應(yīng)的網(wǎng)關(guān)后,也會通過WIFI信號連接到互聯(lián)網(wǎng),與此同時,手機(jī)APP在家時,也會通過WIFI連接到智能門鎖和云端服務(wù)器。考慮到大量的智能門鎖通信協(xié)議采用明文傳輸,或者加密傳輸過程中存在漏洞,通過攻擊WIFI路由器、智能家居網(wǎng)關(guān),或者截持WIFI信號,可以實(shí)現(xiàn)對智能門鎖的控制。
(2)案例分析
某品牌智能門鎖存在設(shè)計漏洞(漏洞編號CNVD-2016-12586)。測試人員通過WIFI信號抓取,分析出APP與智能門鎖云端服務(wù)之間的通信是明文傳輸,并識別出智能門鎖開門和關(guān)門的特定數(shù)據(jù)包。
測試人員在劫持WIFI信號后,即可通過WIFI信號重放攻擊的方式,實(shí)現(xiàn)對門鎖的控制。
圖3-11 WIFI信號劫持實(shí)現(xiàn)開關(guān)門操作
3.6 云平臺服務(wù)安全風(fēng)險
(1)用戶身份鑒別漏洞
未限制密碼復(fù)雜度,未限制非法登陸次數(shù),重置密碼的短信驗(yàn)證碼又本地產(chǎn)生或者存在于返回數(shù)據(jù)包中。
(2)訪問控制漏洞
后端信息系統(tǒng)沒有對數(shù)據(jù)包中重要訪問控制參數(shù)進(jìn)行校驗(yàn),導(dǎo)致越權(quán)操作。還有存在遠(yuǎn)程代碼執(zhí)行漏洞,可以進(jìn)行root權(quán)限命令執(zhí)行。重要回話信息被劫持。
(3)云管理平臺系統(tǒng)存在web安全問題
常見的web安全漏洞同樣存在于智能門鎖云管理平臺,例如,SQL注入、任意文件上傳、失效的身份驗(yàn)證和回話管理、跨站腳本攻擊、不安全的直接對象引用、安全配置錯誤、敏感信息泄露、功能級訪問控制缺失、跨站請求偽造、使用含有已經(jīng)存在漏洞的組件和未驗(yàn)證的重定向和轉(zhuǎn)發(fā)等漏洞。
4、風(fēng)險防范和安全建議
根據(jù)智能門鎖風(fēng)險模型,智能門鎖面臨的安全風(fēng)險包括智能門鎖安全風(fēng)險、移動應(yīng)用安全風(fēng)險、近場通信安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險和應(yīng)用安全風(fēng)險等五個方面的風(fēng)險。
智能門鎖的安全問題一旦被黑客關(guān)注并利用,將會給用戶帶來非常直接的經(jīng)濟(jì)和財產(chǎn)損失,并給社會造成極為嚴(yán)重的負(fù)面影響。接下來將從用戶、廠商和行業(yè)三個角度,分別給出一些針對性的改進(jìn)意見和措施。
4.1 門鎖用戶
對于個人用戶來說,首先盡量選用知名品牌廠商生產(chǎn)、性價比適合自身的智能門鎖產(chǎn)品。其次如果家庭選擇安裝了智能家庭網(wǎng)關(guān)設(shè)備,應(yīng)盡量選擇具有安全功能的設(shè)備,如近場通信安全監(jiān)控和流量安全監(jiān)控等相關(guān)安全功能,對常見的攻擊行為進(jìn)行監(jiān)控即可有效提高家庭安全。
4.2 門鎖廠商
(1)確實(shí)提高移動應(yīng)用的安全質(zhì)量
智能門鎖廠商通過在移動應(yīng)用設(shè)計過程中引入安全設(shè)計,在移動應(yīng)用測試過程中增加安全測試,并通過安全加固等手段加強(qiáng)移動應(yīng)用的抗分析能力,可以較好地提高移動應(yīng)用的安全質(zhì)量。
(2)加強(qiáng)智能門鎖安全設(shè)計把關(guān)
智能門鎖廠商在設(shè)計的過程中,通過提高電磁屏蔽、關(guān)閉調(diào)試接口和調(diào)試功能、加固固件、增加指紋活性檢測、實(shí)施RFID加密、禁止簡單密碼、動態(tài)快速升級固件等多種安全措施,可以確實(shí)提高智能門鎖的抗攻擊能力。
(3)提高網(wǎng)絡(luò)安全防護(hù)水平
智能門鎖體系中智能門鎖、移動應(yīng)用和云端服務(wù)三者之間,都應(yīng)該采用規(guī)范的加密傳輸方式進(jìn)行通信,優(yōu)先選擇采用國家密碼管理部門批準(zhǔn)使用的密碼算法和密碼算法使用規(guī)范,以確保網(wǎng)絡(luò)通信的安全。
(4)持續(xù)保障云端服務(wù)安全
在提高應(yīng)用層安全風(fēng)險方面,應(yīng)該在云端服務(wù)設(shè)計過程中引入安全設(shè)計,在產(chǎn)品測試過程中引入安全測試,在服務(wù)上線后,進(jìn)行持續(xù)的滲透測試和風(fēng)險評估,選擇具有安全防護(hù)實(shí)力的云服務(wù)平臺,并部署相關(guān)的云端安全防護(hù)產(chǎn)品或服務(wù),對云端實(shí)施從物理層、虛擬化層、主機(jī)層、網(wǎng)絡(luò)層、數(shù)據(jù)層到應(yīng)用層的全體系、全方位、全時段的安全監(jiān)控與運(yùn)維,形成完備的安全防護(hù)措施,確保云端服務(wù)的高度安全。
4.3 行業(yè)監(jiān)管和指導(dǎo)
對于智能門鎖整體行業(yè),相關(guān)行業(yè)部門應(yīng)該組織制定一套完善的安全實(shí)施標(biāo)準(zhǔn),覆蓋智能門鎖體系從規(guī)劃、設(shè)計、開發(fā)、測試、部署、上線到運(yùn)營的全部過程,強(qiáng)化整個行業(yè)的安全意識,確實(shí)提高整個行業(yè)整體的產(chǎn)品安全水平。同時組織制定配套的智能門鎖網(wǎng)絡(luò)安全產(chǎn)品檢測規(guī)范,聯(lián)網(wǎng)智能門鎖產(chǎn)品上市前應(yīng)進(jìn)行網(wǎng)絡(luò)安全相關(guān)檢測和認(rèn)證。