向來可靠的智能家居協議ZigBee，就這麼給黑帽子黑了？-南京物聯感測招商加盟總部

標籤：

哪種無線通訊協議最適合智能家居？ZigBee當仁不讓。近年來，為了爭奪潛力無限的智能家居市場，圍繞各類無線協議標準的爭論不斷，但不可否認，ZigBee賺足了眼球，頗受關注和信賴。在智能家居領域，相較於藍芽、WiFi、Z-Wave、射頻等技術協議，ZigBee一直光彩奪目，鮮有負面訊息，可謂有口皆碑，深得人心，並被很多人預設為目前最適宜智能家居的協議標準。

 

而之所以如此，一方面與ZigBee協議本身分不開，另一方面則要感謝一些企業的大力熱捧和宣揚。　

 

——技術層面，ZigBee不是為智能家居而生，卻為智能家居而長。智能家居裝置需要擁有足夠的安全性、穩定性、操作流暢性、較強的裝置承載能力和較低的功耗，而ZigBee都能滿足，且滿足得很到位，因而即便ZigBee最初主要應用於工業領域，如今也絲毫不影響它在智能家居領域的魅力。

 

——推廣層面，不少知名企業紛紛採納，一些實力公司大力宣揚。如果說村裡某些人使用ZigBee協議了，你可能嗤之以鼻，呵呵不語，更談不上信賴，但如果說三星、LG、德州儀器、羅技、飛利浦、小米等知名企業都採用了呢？對ZigBee會不會產生好感？不僅如此，一些企業的大力宣傳也很關鍵，如ZigBee聯盟董事會成員、國內較早採用ZigBee的物聯網領軍企業物聯感測在宣傳推廣方面會著重強調ZigBee的進階密碼編譯演算法，使其安全性在消費者心中根深蒂固，為ZigBee樹立良好的口碑，從而推動ZigBee在中國區的發展。

 

所以，無論從哪個角度來看，ZigBee協議都有足夠的理由受到智能家居廠商的歡迎。然而，就在ZigBee聯盟宣布三星旗下品牌SmartThings成為繼物聯感測後又一位董事會成員之後不足一周，黑帽子大會給潑了一盆冷水，拔涼拔涼的冷水：採用 ZigBee 協議的智能家居裝置存在嚴重漏洞。

 

話說安全研究人員（Cognosec公司）發現，採用ZigBee協議的裝置存在嚴重漏洞，有多嚴重呢？駭客有可能入侵智能家居，隨意操控連網門鎖、警示系統，甚至能夠開關燈泡。按以往的新聞來看，這種事應該發生在WiFi、藍芽或Z-Wave身上，ZigBee怎麼就中招了呢？這其中有Cognosec公司和“小編”（原文作者）的功勞。　

 

——黑帽子大會（Black Hat Conference）被公認為世界資訊安全行業的最高盛會和最具技術性的資訊安全會議，每年都會有不少專業團隊和民間高手參加。他們可以盡情地黑一切科技產品，無需手下留情，當然目的還是為了技術交流和提高企業產品的安全性。而Cognosec公司在這次大會上發表了論文，指出 ZigBee 協議實施方法中的一個缺陷。該公司稱，該缺陷涉及多種類型的裝置，駭客有可能以此危害 ZigBee 網路，並“接管該網路內所有互聯裝置的控制權”。

 

——若是Cognosec公司倒也不會如此，軍功章還有那篇文章作者的一大半，尤其是題目取的非常妙——《黑帽大會爆料，採用 ZigBee 協議的智能家居裝置存在嚴重漏洞》（具體內容請自行百度腦補），讀者看不看內容沒有關係，只要看一眼標題就明白了：ZigBee智能家居裝置存在嚴重漏洞。

 

ZigBee協議智能家居裝置存在嚴重漏洞，看樣子ZigBee協議是難逃一劫了，但這種想法是“懶人”的想法，充分證明“標題黨”的勝利。向來較為可靠的ZigBee怎麼存在嚴重問題呢？只看標題不行，關鍵還要仔細看內容。

 

顯而易見，標題就是會讓我們快速聯想到ZigBee協議有問題的，但實際完全沒有ZigBee協議太多啥事兒。這點原文作者和Cognosec公司實際上都在最後給出了說明。

 

“該漏洞的根源更多被指向製造商生產方便易用、能與其它連網裝置無縫協作的裝置、同時又要壓低成本的壓力，而不是 ZigBee 協議標準本身的設計問題。”——這是作者的分析。

 

“我們在 ZigBee 中發現的短板和局限是由製造商造成的，各家公司都想製造最新最棒的產品，眼下也就意味著能夠連網。燈泡開關這樣的簡單元件必須和其它各種裝置相容，毫不意外的是，很少會考慮安全要求——更多的心思都放在如何降低成本上。不幸的是，在無線通訊標準中最後一層安全隱患的嚴重程度非常高。”——這是Cognosec公司研究人員的漢化版原話。

 

其實，不難發現，向來可靠的智能家居協議ZigBee，並沒有給黑帽子黑掉，而是被一些急功近利的製造商“坑掉了”。那麼現在問題又來了，除卻人為不作為因素（故意忽略標準安全性），ZigBee協議被攻破的幾率有多大呢？

 

“在zigbee的通用安全層級中，一般有兩個key 。一個是信任中心的key。另一個是實際進行網路傳輸資料時的網路key。最終想破解zigbee 網路，必須要擷取後者16個位元組強密碼網路key 。由於zigbee 採取的是AES 128密碼編譯演算法。在不知道這個網路key的情況下，想暴力破解目前沒有可能。也沒有破解先例。

暴力破解的速度是極其低下的。一般只有300key / s，就算採取所謂的GPU加速，速度也不過是10000 key / s，對於一個8位元字 字母 字元的複雜密碼破解時間都需要2900年！即使採用100台分布式，也需要29年！

何況zigbee 的key 是16個位元組強密碼。”

 

上面是一名來自對ZigBee協議安全性擁有足夠信心的物聯感測的物聯網安全專家給出的答案。不要問為什麼是這樣排的，原採訪郵件中的內容就是這樣的，不過足可以說明只要前期工夫做的好，駭客想破解ZigBee智能家居裝置，難！至於“採用 ZigBee 協議的智能家居裝置存在嚴重漏洞”，有一個前提條件：製造廠商不負責或技術不到位。　　　　　　　　　　　　　　　　

 

最後一個問題。近日，國民新晉老公寧澤濤在第16屆遊泳世錦賽奪冠了，項目是男子100米自由泳，創造了亞洲人神跡，突破了黃種人極限，影響力被認為堪比劉翔首奪110米跨欄。顯然，小鮮肉寧澤濤具備了100米自由泳奪冠能力，但是倘若給他安排80米的賽道，沒有奪冠，難道能說明他100米不行？

 

假如ZigBee有100的安全設定手法，一些廠商只用80或只能做到90，結果裝置被破解了，就是ZigBee協議安全性就有問題？這答案或許與最後一個問題的答案類似吧。

總部體驗營銷招商地址：江寧地址：南京市江寧區秣周東路12號 紫金（江寧）科技創業特別社區三樓 (熱烈歡迎大家前來南京物聯總部洽談業務/招商加盟，企業共同作業）

南京物聯感測招商總部熱線:189 3601 0121  連絡人：張金成（線下渠道總監）

物聯智能家居交流QQ:223 221 4905   物聯智能家居交流QQ群:383 315 850

向來可靠的智能家居協議ZigBee，就這麼給黑帽子黑了？-南京物聯感測招商加盟總部