无需按键或按钮,只需直接在移动应用程序中双击屏幕即可解锁。这是很多智能锁的卖点。
然而,在全球最大的年度黑客大会DEFCON上,一位名叫AntonyRose的电气工程师和他的同伴闯入了12把智能锁,占测试的16把智能锁的3/4。
被入侵的智能锁包括Quicklock、Okidokey、MeshMotion等品牌。其中,MeshMotion在国内也有商家销售。
在黑客公布的黑名单中,有四类锁将蓝牙安全锁的密码以明文形式传输到手机上。这使得任何拥有蓝牙嗅探器的人都可以在数据传输时窃取安全锁密码。
这四把锁中,Quicklock的两款智能锁Doorlock和Padlock都会以明文形式发送两次密码。这使得黑客不仅可以找出你家门的密码是什么,还可以更改它。
这些锁的主要问题是蓝牙通信以及安全锁与相应移动应用程序的配对过程。
蓝牙安全锁
然而,有四把智能锁躲过了他们的攻击。其中包括Kwikset和August的蓝牙智能锁。他们最终无法破解这些智能锁,因为它们使用了加密技术,而且它们的软件中没有包含硬编码密码。
Rose表示,他们在发现漏洞后联系了12家供应商,但结果发现他们都不太关心这些问题。我从一家公司得到的唯一答复是“我们意识到了这个问题,但我们不打算解决它。”
蓝牙智能锁只是6日DEFCON上黑客们大展身手的一小部分。在当天的会议上,来自世界各地的15000名黑客演示了入侵物联网设备的各种方法。
这些设备不仅包括智能锁,还包括恒温器、闭路电视摄像机,甚至太阳能电池板。会议上有人还侵入了一款性玩具并窃取了使用它的人的数据。
通过利用这些物联网设备,网络犯罪分子可以有机会攻击与其连接的周围网络,控制更多数据,并发起拒绝服务攻击(DDos)。全球安全软件公司趋势科技的欧洲技术总监RaimundGenes表示,越来越多的黑客开始注意到这些物联网设备,因为它们比传统的联网计算机更容易找到和控制。
