近日,來自德國埃爾朗根-紐倫堡大學的一份研究論文《您所有的燈泡屬于我們:智能照明系統當前安全狀態調查》再次將智能照明系統的安全問題推上風口浪尖。該論文顯示,智能照明通信標準之一的ZigBee-Light-Link(以下簡稱ZLL,它是ZigBee聯盟針對照明行業開發的一種低功耗網狀網無線通信技術)存在安全缺陷,該協議一旦被攻破就會導致整個照明系統被接管,你的智能燈泡也就不再是你的智能燈泡。
為了調查照明系統的安全狀態,埃爾朗根-紐倫堡大學的三名專業人士以飛利浦的Hue、歐司朗的Lightify以及通用電氣的GE-Link為對象進行了深入研究。但是結果表明,協議本身設計存在安全缺陷,并且攻擊距離也不是問題,最受歡迎的Hue距36米處也能被攻破。另外,論文還詳細交代了攻破ZLL協議的兩類方法——在無需密鑰信息支持情況下利用所謂的跨框架(inter-pan)中安全漏洞概念和通過獲取主密鑰信息實現對ZLL設備的控制。
對于此報道,飛利浦立即作出相關回應,澄清這是與公司合作的研究單位所提出的可能性,并非發生中的事實,并且飛利浦的Hue系列產品也從未被病毒感染。研究人員在2016年年中聯絡飛利浦團隊,提出潛在的弱點,在這些相關發現對大眾揭露之前已完成補強。有關發展出能夠入侵Hue產品病毒以及用來入侵之情事皆與事實不符。另外,研究團隊的發現幫助飛利浦研發并更新軟體。
針對這一問題,ZigBee聯盟也在14日發表了正式聲明。ZigBee聯盟回應飛利浦Hue Bulb不存在安全問題,并且ZigBee各項標準均不存在報告所描述的缺陷。該報告中提到的缺陷是某家芯片廠商應用程序中的軟件錯誤導致,不是ZigBee協議的問題,而更多是實現的問題。就像許多技術平臺一樣,比如智能手機和日常計算設備,為了保證設備和系統的安全性,我們應該使用最新的軟件版本并注意及時升級。所述攻擊利用了這個軟件升級的內部接口缺陷,并不適用于整個系統或產品線。
另外,ZigBee聯盟還表示該報告場景中所指的這款智能燈泡的問題已經得到解決,并發送給所有使用該芯片協議棧的客戶。飛利浦Hue在其部分產品線中使用來自這家協議棧供貨商的軟件組件,且已經完成了補丁程序,并將更新的固件發布至所有已售產品。而ZigBee標準本身并無需要更改的地方。
在去年8月的2015黑帽大會,就有安全人員指出,ZigBee技術的實施方法中存在一個嚴重缺陷。其實是由于制造商為了生產出方便易用、可與其它聯網設備無縫協作的設備,同時又要最大化地壓低設備成本,而不顧及在安全層面上采用必要的安全性考量,從而造成ZigBee網絡存在安全風險。
雖然ZigBee聯盟給這兩次智能照明系統安全問題一個完美的“解釋”,但這耶無疑再次敲響了整個物聯網安全問題的警鐘。此前,這一類智能照明系統的安全曾多次被質疑。
LIFX LED燈泡存安全風險
2014年7月,英國資安研究公司Context Information Security發布聲明警告所有物聯網相關公司,由LIFX公司所生產,支持無線連網的LED燈泡存在著安全風險。
這些由新創科技公司LIFX生產的LED燈泡,采用802.15.46LoWPAN網絡,只要監聽網絡封包,即可透過這些燈泡發現加密的網絡設定訊息。基本上,要了解所使用的加密方式,Context公司必須將兩個微控系統單元(TI及 STM,均為Cortex-M3)與JTAG測試用連接埠連線,一但連結上之后,就可以讀取加密演算法、金鑰和無線網狀網絡協定。這些資料將讓公司或企業可以置入網絡封包,而這些動作將不會被偵測到。
Context隨后和LIFX合作發布了韌體更新,已修補這個漏洞,現在所有6LoWPAN網絡都需要使用從Wi-Fi認證機構導入的加密金鑰,而LIFX新生產的燈泡也已都加入此安全機制。
安全措施必須從一開始,就被建立在所有物聯網設備里,雖然目前看起來有許多物聯網公司都存在這樣的問題,但當安全問題被發現時,就能在使用者受害前提早修補。
“黑客”快速破解智能設備
2014年的“黑帽大會”上,一個演示團隊在45分鐘之內成功破解了22個設備,令眾人惶恐智能系統的缺陷性。
歐司朗智能燈泡被發現存在重大安全漏洞
2016年7月,安全專家發現了歐司朗智能燈泡所存在的一個安全漏洞。Rapid7的首席安全顧問Deral Heiland表示,如果該漏洞被黑客所利用,那他們就能訪問用戶的家庭或企業網絡。最壞的情況是,這將讓它們控制產品發動針對瀏覽器的攻擊。此外,黑客還能在數分鐘之內破解用戶的Wi-Fi密碼,如果該密碼同時被使用在了其他的網站和服務當中(幾率很高),那這也就帶來了額外的風險。
不過Heiland提到,歐司朗目前已經知曉該漏洞的存在,并將在下一輪的安全升級當中對包括它在內的幾個重大安全漏洞進行修復。
結語:
目前物聯技術還處于初級發展階段,并沒有建立起一套完善的安全標準,同時由于網絡天然的缺陷性,容易受到黑客攻擊,因此集成大數據的智慧系統、智能云平臺等的安全問題成為各界關注的焦點,也是智能照明往前發展的一大絆腳石。智能系統的安全標準需要被認真看待,也需要照明企業、智能方案服務商、云平臺等相關企業之間的通力合作。
