在安全人员的分析中,他们指出具体问题在于,ZigBee协议标准要求支持不安全的初始密钥的传输,再加上制造商对默认链路密钥的使用——使得黑客有机会侵入网络,通过嗅探某个设备破解用户配置文件,并使用默认链路密钥加入该网络。
然而,默认链路密钥的使用给网络密钥的保密性带来了极大的风险。因为ZigBee的安全性很大程度上依赖于密钥的保密性,即加密密钥安全的初始化及传输过程,因此这种开倒车的默认密钥使用机制必须被视作严重风险。
安全人员表示,如果攻击者能够嗅探一台设备并使用默认链路密钥加入网络,那么该网络的在用密钥就不再安全,整个网络的通信机密性也可以判定为不安全。
可实际上,ZigBee协议标准本身的设计问题并不是引发上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商为了生产出方便易用、可与其它联网设备无缝协作的设备,同时又要最大化地压低设备成本,而不顾及在安全层面上采用必要的安全性考量。
安全人员对ZigBee漏洞总结
安全人员指出,在对智能灯泡、智能门锁、运动传感器、温度传感器等所做的测试中显示,这些设备的供应商仅部署了最少数量的要求认证的功能。其它提高安全级别的选项都没被部署,也没有开放给终端用户。而这种情况下所带来的安全隐患,其严重程度将是非常高的。
|