ZigBee曝出嚴重漏洞 或引發(fā)物聯(lián)網(wǎng)安全危機

　　伴隨科技的快速演進(jìn)，物聯(lián)網(wǎng)(The Internet of Things，IoT)概念再次興起，人們身邊的日常用品、終端設備、家用電器等也逐步被賦予了網(wǎng)絡(luò )連接的能力。然而作為連接上述設備所廣泛使用的重要無(wú)線(xiàn)互聯(lián)標準之一，ZigBee技術(shù)卻于近期召開(kāi)的2015黑帽大會(huì )(BlackHat2015)上被曝出存在嚴重的安全漏洞，引發(fā)了業(yè)內的廣泛關(guān)注。

　　ZigBee被曝出有嚴重的安全漏洞

　　ZigBee是一種低成本、低功耗、近距離的無(wú)線(xiàn)組網(wǎng)通訊技術(shù)。由于其名稱(chēng)(ZigBee，Zig“嗡嗡”，Bee“蜜蜂”)來(lái)源于蜜蜂的八字舞，所以該協(xié)議又被稱(chēng)為紫蜂協(xié)議。在理論層面上來(lái)說(shuō)，它是基于IEEE802.15.4標準的低功耗局域網(wǎng)協(xié)議，主要適合用于自動(dòng)控制和遠程控制領(lǐng)域，可以嵌入各種設備中進(jìn)行數據的通訊傳輸。目前ZigBee協(xié)議已廣泛存在于諸如智能燈泡、智能門(mén)鎖、運動(dòng)傳感器、溫度傳感器等大量新興的物聯(lián)網(wǎng)設備中。

　　ZigBee是目前重要的無(wú)線(xiàn)通訊協(xié)議之一

　　然而就在各家公司仍舊將關(guān)注點(diǎn)集中在上述設備的連通性、兼容性等方面之時(shí)，卻沒(méi)有注意到一些常用的通訊協(xié)議在安全方面的進(jìn)展上則處于滯后狀態(tài)。這不，在剛剛結束的2015黑帽大會(huì )上，就有安全研究人員指出，在ZigBee技術(shù)的實(shí)施方法中存在一個(gè)嚴重缺陷。而該缺陷涉及到多種類(lèi)型的設備中，黑客有可能以此危害ZigBee網(wǎng)絡(luò )，并“接管該網(wǎng)絡(luò )內所有互聯(lián)設備的控制權”。

　　研究人員表示，通過(guò)對每一臺設備評估得出的實(shí)踐安全分析表明，利用ZigBee技術(shù)雖然為設備的快速聯(lián)網(wǎng)帶來(lái)了便捷，但由于缺乏有效的安全配置選項，致使設備在配對流程存在漏洞，黑客將有機會(huì )從外部嗅探出網(wǎng)絡(luò )的交換密鑰。而ZigBee網(wǎng)絡(luò )的安全性則完全依賴(lài)于網(wǎng)絡(luò )密鑰的保密性，因此這個(gè)漏洞的影響將非常的嚴重。

　　硬傷竟是源于使用默認鏈路密鑰

　　在安全人員的分析中，他們指出具體問(wèn)題在于，ZigBee協(xié)議標準要求支持不安全的初始密鑰的傳輸，再加上制造商對默認鏈路密鑰的使用——使得黑客有機會(huì )侵入網(wǎng)絡(luò )，通過(guò)嗅探某個(gè)設備破解用戶(hù)配置文件，并使用默認鏈路密鑰加入該網(wǎng)絡(luò )。

　　然而，默認鏈路密鑰的使用給網(wǎng)絡(luò )密鑰的保密性帶來(lái)了極大的風(fēng)險。因為ZigBee的安全性很大程度上依賴(lài)于密鑰的保密性，即加密密鑰安全的初始化及傳輸過(guò)程，因此這種開(kāi)倒車(chē)的默認密鑰使用機制必須被視作嚴重風(fēng)險。

　　安全人員表示，如果攻擊者能夠嗅探一臺設備并使用默認鏈路密鑰加入網(wǎng)絡(luò )，那么該網(wǎng)絡(luò )的在用密鑰就不再安全，整個(gè)網(wǎng)絡(luò )的通信機密性也可以判定為不安全。

　　可實(shí)際上，ZigBee協(xié)議標準本身的設計問(wèn)題并不是引發(fā)上述漏洞的原因。上述漏洞的根源更多地被指向了由于制造商為了生產(chǎn)出方便易用、可與其它聯(lián)網(wǎng)設備無(wú)縫協(xié)作的設備，同時(shí)又要最大化地壓低設備成本，而不顧及在安全層面上采用必要的安全性考量。

　　安全人員指出，在對智能燈泡、智能門(mén)鎖、運動(dòng)傳感器、溫度傳感器等所做的測試中顯示，這些設備的供應商僅部署了最少數量的要求認證的功能。其它提高安全級別的選項都沒(méi)被部署，也沒(méi)有開(kāi)放給終端用戶(hù)。而這種情況下所帶來(lái)的安全隱患，其嚴重程度將是非常高的。

　　綜上，正如無(wú)線(xiàn)路由器會(huì )曝出存在默認管理密碼的安全漏洞一樣，現在被部署于大量智能設備中的ZigBee協(xié)議也被設備制造商隨意濫用，導致使用該協(xié)議的家用或企業(yè)級互聯(lián)設備暴露在惡意攻擊者的覬覦之下。由此可見(jiàn)，在確保智能設備獲得出色的互通性與普及性同時(shí)，如何還能為消費者兼顧安全層面上的可靠防護，才是當前智能設備廠(chǎng)商最該做的。