近日,来自德国埃尔朗根-纽伦堡大学的一份研究论文《您所有的灯泡属于我们:智能照明系统当前安全状态调查》再次将智能照明系统的安全问题推上风口浪尖。该论文显示,智能照明通信标准之一的ZigBee-Light-Link(以下简称ZLL,它是ZigBee联盟针对照明行业开发的一种低功耗网状网无线通信技术)存在安全缺陷,该协议一旦被攻破就会导致整个照明系统被接管,你的智能灯泡也就不再是你的智能灯泡。
为了调查照明系统的安全状态,埃尔朗根-纽伦堡大学的三名专业人士以飞利浦的Hue、欧司朗的Lightify以及通用电气的GE-Link为对象进行了深入研究。但是结果表明,协议本身设计存在安全缺陷,并且攻击距离也不是问题,最受欢迎的Hue距36米处也能被攻破。另外,论文还详细交代了攻破ZLL协议的两类方法——在无需密钥信息支持情况下利用所谓的跨框架(inter-pan)中安全漏洞概念和通过获取主密钥信息实现对ZLL设备的控制。
对于此报道,飞利浦立即作出相关回应,澄清这是与公司合作的研究单位所提出的可能性,并非发生中的事实,并且飞利浦的Hue系列产品也从未被病毒感染。研究人员在2016年年中联络飞利浦团队,提出潜在的弱点,在这些相关发现对大众揭露之前已完成补强。有关发展出能够入侵Hue产品病毒以及用来入侵之情事皆与事实不符。另外,研究团队的发现帮助飞利浦研发并更新软体。
针对这一问题,ZigBee联盟也在14日发表了正式声明。ZigBee联盟回应飞利浦Hue Bulb不存在安全问题,并且ZigBee各项标准均不存在报告所描述的缺陷。该报告中提到的缺陷是某家芯片厂商应用程序中的软件错误导致,不是ZigBee协议的问题,而更多是实现的问题。就像许多技术平台一样,比如智能手机和日常计算设备,为了保证设备和系统的安全性,我们应该使用最新的软件版本并注意及时升级。所述攻击利用了这个软件升级的内部接口缺陷,并不适用于整个系统或产品线。
另外,ZigBee联盟还表示该报告场景中所指的这款智能灯泡的问题已经得到解决,并发送给所有使用该芯片协议栈的客户。飞利浦Hue在其部分产品线中使用来自这家协议栈供货商的软件组件,且已经完成了补丁程序,并将更新的固件发布至所有已售产品。而ZigBee标准本身并无需要更改的地方。
在去年8月的2015黑帽大会,就有安全人员指出,ZigBee技术的实施方法中存在一个严重缺陷。其实是由于制造商为了生产出方便易用、可与其它联网设备无缝协作的设备,同时又要最大化地压低设备成本,而不顾及在安全层面上采用必要的安全性考量,从而造成ZigBee网络存在安全风险。
虽然ZigBee联盟给这两次智能照明系统安全问题一个完美的“解释”,但这耶无疑再次敲响了整个物联网安全问题的警钟。此前,这一类智能照明系统的安全曾多次被质疑。
LIFX LED灯泡存安全风险
2014年7月,英国资安研究公司Context Information Security发布声明警告所有物联网相关公司,由LIFX公司所生产,支持无线连网的LED灯泡存在着安全风险。
这些由新创科技公司LIFX生产的LED灯泡,采用802.15.46LoWPAN网络,只要监听网络封包,即可透过这些灯泡发现加密的网络设定讯息。基本上,要了解所使用的加密方式,Context公司必须将两个微控系统单元(TI及 STM,均为Cortex-M3)与JTAG测试用连接埠连线,一但连结上之后,就可以读取加密演算法、金钥和无线网状网络协定。这些资料将让公司或企业可以置入网络封包,而这些动作将不会被侦测到。
Context随后和LIFX合作发布了韧体更新,已修补这个漏洞,现在所有6LoWPAN网络都需要使用从Wi-Fi认证机构导入的加密金钥,而LIFX新生产的灯泡也已都加入此安全机制。
安全措施必须从一开始,就被建立在所有物联网设备里,虽然目前看起来有许多物联网公司都存在这样的问题,但当安全问题被发现时,就能在使用者受害前提早修补。
“黑客”快速破解智能设备
2014年的“黑帽大会”上,一个演示团队在45分钟之内成功破解了22个设备,令众人惶恐智能系统的缺陷性。
欧司朗智能灯泡被发现存在重大安全漏洞
2016年7月,安全专家发现了欧司朗智能灯泡所存在的一个安全漏洞。Rapid7的首席安全顾问Deral Heiland表示,如果该漏洞被黑客所利用,那他们就能访问用户的家庭或企业网络。最坏的情况是,这将让它们控制产品发动针对浏览器的攻击。此外,黑客还能在数分钟之内破解用户的Wi-Fi密码,如果该密码同时被使用在了其他的网站和服务当中(几率很高),那这也就带来了额外的风险。
不过Heiland提到,欧司朗目前已经知晓该漏洞的存在,并将在下一轮的安全升级当中对包括它在内的几个重大安全漏洞进行修复。
结语:
目前物联技术还处于初级发展阶段,并没有建立起一套完善的安全标准,同时由于网络天然的缺陷性,容易受到黑客攻击,因此集成大数据的智慧系统、智能云平台等的安全问题成为各界关注的焦点,也是智能照明往前发展的一大绊脚石。智能系统的安全标准需要被认真看待,也需要照明企业、智能方案服务商、云平台等相关企业之间的通力合作。
