物聯網時代,智能門鎖安全嗎?

2020-12-25 中國電子銀行網

高峰,信息安全工程師,多年POS開發和移動應用相關經驗,目前專注於物聯網安全相關領域。

陳硌瓊,信息安全工程師,多年移動應用開發經驗,目前專注於移動應用及物聯網安全相關領域。

一、 國家對網際網路軟體安全管理

目前國家對網際網路客戶端軟體安全管理已越來越規範和嚴格,近幾年,國家有關部門陸續出臺相關管理要求:2016年11月7日,國家發布《中華人民共和國網絡安全法》;2019年3月13日,市場監管總局、中央網信辦發布《移動網際網路應用程式(App)安全認證實施規則》;2019年10月18日,中國人民銀行發布《加強移動金融客戶端應用軟體安全管理的通知》的237號文;2019年11月28日四部委(工信部、網信辦、公安部、市場總局)發布《App違法違規收集使用個人信息行為認定方法》。以上文件都說明國家對網絡安全的重視程度,今天我們一起研究下現階段物聯網智能門鎖的安全情況。

二、 智能門鎖攻擊

智能門鎖是物聯網時代的產物,由於它的便捷性,受到越來越多的家庭認可,是守護人身安全和財產安全的重要防線。介於此,我們對常見品牌的智能門鎖展開了調研和研究,並嘗試對選定的一款智能門鎖進行攻擊測試,以下是我們對該款智能門鎖的攻擊過程和結果。此次攻擊的物聯網門鎖客戶端軟體是在root的手機環境下進行的,這是一種常見的安全測評分析手段。

1.攻擊對象(智能門鎖)選型

首先搜集了市面上常見品牌的智能門鎖,並下載對應客戶端軟體,並對該客戶端軟體進行初步分析(反編譯、抓包、重發等),篩選出安全性相對不高的產品作為候選攻擊對象。

2. 攻擊方案概述

經過對多款智能門鎖開門方式分析,大部分都有生成臨時密碼開鎖功能,並且生成的臨時密碼一般會在一定時間內失效,此次我們的主要目的就是通過截取臨時密碼來正常開鎖。此外,我們也成功的截取到了用戶的用戶名和密碼,這也就意味著成功完成一次攻擊後,我們可以在任意手機下載的官方智能門鎖客戶端軟體上使用用戶名和密碼成功登錄,並隨時生成臨時密碼進行正常開門。

智能門鎖攻擊平臺由三部分組成:門鎖劫持客戶端軟體、雲平臺伺服器、簡易簡訊發送硬體設備。大概的流程是:首先,有一臺root環境手機並能正常訪問網絡,在手機上去應用商店下載安裝官方的智能門鎖客戶端軟體;其次,用戶在我們的root環境手機上正常登錄,並獲取開鎖臨時密碼操作,此時門鎖劫持客戶端軟體會把劫持到的用戶名、密碼、臨時密碼等操作人重要信息數據發送給雲平臺伺服器;第三,雲平臺伺服器發送開鎖臨時密碼數據通過網絡發給簡訊發送硬體設備;最後,簡訊發送硬體設備把臨時開鎖密碼以簡訊形式發送給指定手機,整體流程見圖1。

圖1

3.門鎖劫持客戶端軟體

第一步,需要對官方下載的智能門鎖客戶端軟體進行技術分析,觀察客戶端軟體程序代碼中生成臨時密碼時的操作流程,通過分析和多次的嘗試找到源碼中生成臨時密碼的函數模塊,見圖2。

圖2

第二步,根據找到臨時密碼的函數模塊位置和參數,使用Android Studio開發門鎖劫持客戶端軟體代碼,見圖3。

圖3

第三步,在Xposed框架的環境下,運行官方的智能門鎖客戶端軟體,正常登錄操作,獲得開鎖臨時密碼,此時可以通過開發的門鎖劫持客戶端軟體截獲登錄帳號、登錄密碼和臨時密碼等重要信息,見圖4。

圖4

最後,門鎖劫持客戶端軟體把截取到的開鎖臨時密碼通過網絡上傳至雲平臺伺服器,代碼見圖5。

圖5

4.雲平臺搭建

基於Linux伺服器進行雲平臺搭建,主要實現服務接口與資料庫存儲服務的搭建,打通門鎖劫持客戶端軟體與簡訊發送硬體設備之間的數據鏈路,實現數據收集、數據管理和數據監控功能,成為智能門鎖攻擊的紐帶與中樞。

服務接口基於RESTful API接口規範開發:

一類是雲平臺伺服器與手機門鎖劫持客戶端軟體的數據交互功能接口,手機客戶端通過Http協議調用雲平臺伺服器API接口實現與其數據交互,見圖6。

圖6

另一類接口是雲平臺伺服器與簡訊發送硬體設備的數據交互功能接口,使用Netty框架建立基於TCP協議的Socket server服務,與簡訊發送硬體設備進行數據交互,見圖7。

圖7

一個資料庫存儲,基於Hibernate框架把帳號、密碼和日誌等重要資源數據寫入MySql資料庫,見圖8。

圖8

5.簡易簡訊發送硬體設備

此硬體設備是由STM32單片機作為主MCU,外圍擴展添加WIFI模塊和4G模塊,WIFI模塊用於連接路由與外網雲平臺伺服器連接進行數據交互,4G模塊用於與指定手機發送帶開鎖臨時密碼的簡訊,硬體原理圖參見圖9。

圖9

根據以上原理圖搭建硬體設備,某寶購買MCU最小系統、WIFI模塊和4G模塊,4G模塊的手機卡使用正常三大運營商手機卡,完成搭建後的硬體實物見圖10。

圖10

使用keil開發工具編寫MCU單片機代碼,主要包括兩部分:一是控制WIFI模塊連接路由與外網雲平臺伺服器建立長連接並進行數據交互;二是單片機得到雲平臺伺服器發送來的開鎖臨時密碼後,通過4G模塊把劫持的開鎖臨時密碼發送給指定手機號。以上代碼片段見圖11。

圖11

三、 總結

目前,安全問題已經成為了阻礙物聯網進一步發展的重要因素,如果其安全性不能得到充分保證,那麼物聯網系統中的個人信息、敏感數據等,都可能被盜竊或被不法分子利用,這必將嚴重影響個人隱私和財產安全。針對物聯網安全的管理,各監管機構也結合行業特點和技術發展情況,陸續制定相關監管要求,建立檢測認證體系,保證和促進物聯網行業的健康發展。

責任編輯:韓希宇

相關焦點

  • 智能門鎖到底安全嗎?
    央廣網北京5月15日消息(記者秉文)據中央廣播電視總臺經濟之聲《天天315》報導,不用拿鑰匙,也能打開房門門鎖。集指紋開鎖、手機開鎖、人臉識別開鎖、密碼開鎖等多種功能於一身的智能門鎖近年來漸漸進入人們的日常生活。
  • 智能門鎖值不值得裝?它真的安全嗎?如何選一款安全靠譜的智能門鎖?
    近年來,「智能」是一個很火熱的詞,其中智能門鎖也逐漸走進千家萬戶,成為很多家庭升級門鎖的首選,看中它沒有鎖孔、安全便捷這個優勢。但最近網上有傳聞說,有的智能門鎖小偷用5秒鐘就能破解,比普通門鎖還不靠譜,到底如何聽水哥為大家分析。
  • 智能門鎖安全嗎?消費者最擔心這兩個問題
    不用拿鑰匙,也能打開房門門鎖。集指紋開鎖、手機開鎖、人臉識別開鎖、密碼開鎖等多種功能於一身的智能門鎖近年來漸漸進入人們的日常生活。不過,消費者網聯合北京陽光消費大數據研究院今天發布的《智能門鎖消費滿意度調查報告》卻顯示,受訪者擔心異地解鎖和開門指令洩露。
  • 基於國民技術N32G4FRx、N32WB4x系列MCU的單晶片安全智能門鎖方案
    智能門鎖由於其自身的特點,安全是其最基本和重要的需求。傳統的智能門鎖方案需要增加額外的安全模塊實現對密鑰、開鎖密碼、指紋模板等敏感信息的存儲保護、加解密運算與安全認證等功能。 圖1 常規智能門鎖方案架構   1、什麼是單晶片安全智能門鎖?
  • 楊格智能門鎖不止安全+品質 差異化用戶體驗成就智能指紋鎖經典!
    創新技術+嚴苛品控,構築智能鎖「保障屏」   縱觀智能鎖市場,行業資深領導品牌,專注智能門鎖行業20年的全球智控門鎖專家楊格,喊出了「智能好鎖楊格造」的口號,其聚焦安全和穩定,創新技術+嚴苛品控,構築起了智能鎖的
  • 楊格|騰訊QQfamily智能門鎖全國啟動大會邀請函
    隨著 5G商用網絡的全面布局和人工智慧的高速發展,智能產業儼然成為增長最快的風口產業。站在時代的風口,抓住機遇就等於抓住了未來。智能門鎖作為智能產業中「入口級」產品,自然是智能生態領域不可或缺的應用工具。未來已來,5G生態,鎖住未來!
  • 智能門鎖是如何工作的?當它沒電時怎麼充電及開門?
    來源:天極網很多人在出門旅行時,印象最深刻的除了當地的美景外,還要數酒店的門鎖了。相較於家庭用戶自己安裝的普通門鎖,酒店安裝的智能門鎖給人一種很便捷、很安全的感受。當然,除了酒店,很多一二線城市的家庭用戶也開始將家裡的門鎖進行升級,更換成安全係數更高的智能門鎖。不過,目前消費者對智能鎖的了解,也僅限於了解密碼開鎖、指紋解鎖這些功能。在購買同類產品時,明星推薦或使用的機型起了重要的引導作用。對於購買智能鎖這件事,很多朋友更是顧慮重重,智能鎖真的智能嗎?
  • 試用小米米家智能門鎖:關上安全操心 打開智能家居野心
    ,小米的全家桶尺寸,還會被這門鎖撐大嗎?2、PIN碼接下來是PIN碼,在門鎖頂部的數字觸摸鍵盤輸入自己在米家app中設置好的PIN即可開門,和其他智能門鎖類似,米家智能門鎖支持虛位PIN,即不管你前後怎麼亂按一氣,只要你輸入的長串PIN裡包含了連續正確的密碼便能打開門鎖。該功能主要是為了防偷窺,算是眾多智能門鎖的標配。
  • 電子門鎖更安全嗎?我家適合裝嗎?(附 3 款電子門鎖推薦)
    ❶電子門鎖比機械鎖更安全嗎?不一定,電子門鎖只是用其他的開鎖方式,暫時拋棄了鑰匙,讓你更加方便。先說結論,下圖三個級別中,超 B 級鎖芯的安全係數是最高的,這個指標適用於單獨的機械鎖,也適用於電子門鎖中的機械鎖。購買的時候儘量購買超 B 級的。
  • 88家智能門鎖及其代表產品功能詳解
    公司是集研發、生產與銷售於一體,致力於為全球用戶提供高品質的智能門鎖、智能家居等產品和系統解決方案。公司自主研發、設計專利達80多項,與萬科、時代、保利、越秀、中糧、中建、遠洋、珠江、卓越、雅居樂等大型房企深入合作,並建立了長期戰略合作夥伴關係。
  • 【曝光】智能門鎖的驚世騙局!
    鎖代表著鎖住、封閉,也體現了無鑰匙不可出入的安全。時至今日,科技時代的鎖具不僅要保證安全可靠,同時也要便捷。於是鑰匙不再和鎖成雙入對,取而代之的是IC卡、密碼、指紋識別、虹膜識別、面部識別等高科技手段。那麼,在便捷有餘的情況下,智能門鎖真的更安全了?
  • 幾百與幾千的智能門鎖到底有什麼不一樣
    愛看韓劇的小夥伴們一定了解,除了主角們的時尚單品,有一樣東西經常會出現,那就是智能門鎖。其實除了韓劇,在中國影視劇中,我們也能看到智能鎖的身影。譬如在今年新年檔電影《囧媽》中,徐崢飾演的主人公母親家中便有一把智能鎖,它還有長達幾秒的鏡頭。
  • 中友智能家居:智能門鎖智能家必不可少
    尤其是門鎖,因為門鎖是家庭安全的第一衛士,安全性才是其核心。然而技術的瓶頸和巨大的利益夾擊之下,智能門鎖還是存在很多問題。非要使用智能門鎖的話,建議不要使用人臉識別和遠程開鎖功能,儘量使用多組合的開鎖方式。
  • 智能門鎖真的安全嗎? 三地消協公布的結果可圈可點
    京津冀三地消費者協會今天公布網售智能門鎖比較試驗結果,讓智能門鎖安全問題再次打臉。經測試,38把智能門鎖樣品中,有24把樣品的IC卡鑰匙可被破解複製,其中包括標價3700元的一款智能門鎖;14把智能門鎖樣品宣傳具有指紋識別功能,實測並不具備,涉嫌虛假宣傳;32把樣品可用製作的假指紋解鎖;30把樣品可靠性差。目前市場尤其是網絡平臺上,智能門鎖品牌眾多,價格相差懸殊,同時還出現了號稱能打開智能門鎖的「小黑盒」。
  • 美的獲TUV南德首張洗碗機類消費者物聯網安全標準符合性聲明
    TUV南德大中華區電子電氣部副總裁陳灝漩與美的IoT首席信息官徐祥智、IoT家電端安全負責人楊坤、廚房與熱水事業部OBM智能技術負責人王飛、洗碗機平臺研究經理李翔出席頒證儀式,以及雙方項目人員共同見證整個儀式過程。
  • 小米智能門鎖Pro全測評:有眼力見兒!更安全!
    門鎖外觀:小米智能門鎖Pro繼承了小米經典設計風格,沉穩大氣,說實話,我還是很喜歡小米這種簡約大氣的設計風格,外觀很符合年輕人審美感官。上手操作和大部分的智能門鎖一樣採用上提把手反鎖。相對於普通智能門鎖,這款小米智能門鎖Pro長了一大截,主要升級方面是增加了智能貓眼和門鈴,將貓眼門鈴嵌入鎖體本身。
  • 智能門鎖時代,它到底比普通門鎖好在哪?4點講解讓你全明白
    智能門鎖時代,它到底比普通門鎖好在哪?很多人喜歡智能鎖帶給我們的方便,但是也有很多人還是喜歡使用傳統門鎖,它們之前都有什麼樣的不同呢,今天小編就為大家來介紹介紹這兩種門鎖的不同和智能鎖的優點在哪裡?1、普通鎖的製作方法非常的簡單,而且說鎖芯也是非常簡單的,所以普通的鎖都配備鑰匙,我們只要用對號的鑰匙插進去,就可以把普通的鎖打開。
  • 智能鎖 就選全球智控門鎖專家楊格智能鎖
    本網8月4日訊 今年以來,智能門鎖的便捷智能和安全防盜成為被更多中國家庭選擇的理由。智能鎖作為智能家居的第一道安防線,日韓市場普及率達75%,歐美市場近50%,而我們中國不足5%,市場體量大,隨著數位化時代的到來,工程智能鎖被廣泛應用,有關專家預計10年內智能鎖行業很難觸及天花板,發展空間巨大。
  • 小米智能門鎖Pro正式發布:門鎖、攝像頭二合一 首發價1599
    11月4日,小米正式發布小米智能門鎖Pro,支持7大開鎖方式,採用直插式C級智能鎖芯,並且將門鎖、門鈴、攝像頭合而為一。 小米智能門鎖Pro不僅能與小米智能家居聯動,還能與蘋果HomeKit智能家居聯動場景,體驗更加豐富。
  • 門鎖+攝像頭+貓眼門鈴,三合一的小米智能門鎖Pro不止是省錢
    今年新房裝修完搬過來後,就一直在研究智能門鎖,經過仔細的對比和慎重考慮,最終選擇了小米智能門鎖Pro。為什麼呢?原因如下:目前來說,小米的智能家居產品是最全的,後期的升級配套會非常省心。這一點非常重要!真的非常重要!