智能锁安全漏洞自查手册

门锁决定家庭安全,买一把安全的智能锁是每个家庭的基本需求,但目前市面上出现了许多存在安全隐患的智能锁,因此小九今天要为大家普及哪些智能锁不能买,智能锁安全漏洞如何自查。

哪些智能锁不能买?

一、防盗锁芯不精密的不能买。

从本质上来说,智能锁也是防盗锁,锁芯是防盗的核心。

钥匙有凸凹双层孔位的、有两种齿牙花以上的,锁芯的精密度是比较高的。精密度不够的钥匙,防盗性能也是远远不够的。

二、锁芯没有防钻设置的不能买。

锁芯没有内置防钻栓防钻片的,锁芯没有保护罩的,锁芯安装在前面板底部的,都不要买,非常不安全。

三、不防高频技术的不能买。

大部分的便宜智能锁,高频发射器一点即开,十分危险。

一时的安全不等于永远安全,记住,防盗永远是以防万一的事情。接下来小九就为大家分享智能锁安全漏洞如何自查。

智能锁安全漏洞如何自查?

若是从功能逻辑的角度将智能锁抽象,智能锁的工作流程可以简化为:

先用生物识别、输密码、刷卡等各种方式验证开锁人是否具有合法权限,再根据验证结果自动执行开或不开的动作,并与云平台之间交换必要的数据信息。

因此,可将智能锁抽象为认证(判断开锁请求是否合法)、执行(开或不开)、联网(与云端交互)三大功能模块,所以智能锁的安全性也需要从认证、执行、联网三个方面分析。

一、认证

在所有的认证方式里,生物识别使用的最为广泛。

有媒体披露,在一些智能锁的指纹传感器上贴一层有导电图案的薄膜,即可任意开启该智能锁。

这个漏洞的成因在于,指纹识别算法的自学习机制被利用。自学习机制在改善指纹识别通过率的同时,也会天然引入安全风险,会将贴膜上的导电图案误认为合法的指纹。还有一种更加可怕的情形,即指纹传感器自身起到了“贴膜”的效果。

另外,半导体指纹传感器自身有一定的背景噪声,当传感器老化,其背景噪声也会增大,结果是指纹传感器采集的指纹图像会附加一个越来越深的背景图像。

如果算法防御不到位,使用一段时间后,智能锁识别的很可能就是传感器自身的背景纹理图案,而不是开锁人的指纹图案,从而导致无须贴膜也能人人可开。

九彩鹰皇研发出了一种安全性更高的指纹识别技术,生物活体指纹技术,360°全方位识别,防止假指纹,有效拒绝克隆(复制)的指纹,识别算法准确灵敏,升级家庭安全系数。

二、执行

最近业界爆出的“电磁干扰开锁”漏洞,绕开了复杂的认证,直接对电机发起攻击。这个漏洞的出现也彻底暴露出智能锁行业目前良莠不齐的乱象。

电磁干扰攻击的过程是,用交变磁场接近门锁,使MCU控制IO到电机驱动H桥之间的导线产生感应电流,从而触发H桥使电机运行。也就是说不需要任何认证,就能把门锁打开。

这个漏洞是由于PCBA上没有做基本的板级电磁屏蔽。

九彩鹰皇智能锁采用高级航空铝材质,防止强磁开锁,高端性能处理芯片,搭配智能系统,具有容错处理能力,同时,产品在硬件电路设计上也有做相应的防护措施,大概率降低外部干扰对系统的影响。

三、联网

锁终端与云平台之间的通信安全问题,也是十分值得重视的。

锁企需要注意的是,在联网安全层面,产品最初的业务逻辑设计很重要。业务逻辑设计的不够严密,会留下安全漏洞。

举个例子:有些智能锁具有远程开锁的功能,即服务器发送开锁密码到终端,终端验证通过后开锁。在业务逻辑上,终端对于服务器发送密码指令的时间间隔没有做设定,且终端又长时间在线,同时密码设置的深度不够深,比如只设置了6位密码,那么即使采用最笨的遍历撞码的方法,伪云端攻击也能在几分钟到十几分钟之内试出密码。

作为行业内极具创新能力的九彩鹰皇,在物联网云平台与大数据运营管理服务等方面拥有专业的技术团队、丰富的商用实践,其奉行安全至上,无论是从智能锁硬件还是软件,始终如一,精益求精。

最后,希望各位能选购到一款安全性高的智能锁。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180801G1HM9200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券