关键的物联网安全缺陷让联网的家庭设备容易受到攻击

更新10.11：使用ZigBee响应更新。

在ZigBee中已经发现了大量用于开发的关键漏洞，这是IoT设备使用的流行标准。

物联网(IoT)设备正在国内技术部门加快步伐。

监控食品新鲜度的智能冰箱、跟踪电力使用的仪表以及智能家庭照明系统仅仅是网络和网络如何改变家用电器的性质的几个例子。

虽然这些设备可以使家庭更加高效和有趣，但一旦您将设备连接到Internet，您就已经为潜在的被开发的软件漏洞建立了一个路径，而IoT供应商也不知道他们对安全风险的关注。

允许IoT设备相互通信的标准，使得物联网成为可能的基础系统也被置于风险--由IT安全公司Cognosec的研究人员开发的概念。本周，该团队在内华达州拉斯维加斯的黑帽上揭幕，在一份白皮书中说，ZigBee是一种流行的IoT标准，充满了安全漏洞。

ZigBee是基于IEEE802.15.4的开放的全球无线标准，并且通常被包括三星、飞利浦、摩托罗拉和TexasInstruments在内的IoT设备制造商所使用。软件协议的目的是提高不同的IoT设备之间的通信和兼容性，但根据Cognosec，"低的每单位成本、互操作性和兼容性要求以及遗留安全概念的应用导致了已知的安全风险的持续。"

总部位于维也纳的Cognosec发现，使用该协议可以破坏ZigBee网络并接管连接到集线器的每个物联网设备。根据团队的说法，容易设置和使用的特性对安全性产生了负面影响，因为“缺乏配置可能性”来支持使用ZigBee协议的物联网产品的防御。

ZigBee允许各种设备类型交换控制消息以形成无线家庭自动化应用，该应用随后可用于打开和关闭灯和加热、检查家庭安全摄像机或打开门。

然而，一个严重的安全漏洞可能会危及整个网络。

Cognosec特别发现了一个缺陷，该公司描述为一个"易受攻击的设备配对程序"，允许第三方嗅探交换网络密钥。这又为中间人(MITM)攻击和设备劫持打开了设备。

因此，安全问题被认为是至关重要的。

"由于ZigBee的安全性高度依赖于密钥材料的保密性,因此在加密密钥的安全初始化和传输上,该默认回退机制必须被认为是关键风险,"说。

"如果攻击者能够嗅探设备并使用默认链路密钥进行连接，则会损害活动网络密钥，并且可以认为整个网络通信的机密性受到损害。"

在使用IoT灯泡、运动传感器和门锁进行测试之后，安全公司发现，供应商经常实施需要认证的安全功能的"最低限度"数量，以用于家庭使用，但客户没有多种选项来提高安全性标准，如更改密码和安装其他安全软件。当IoT设备与已连接的家庭网络配对时，无法更改默认传输密钥，并且通过Web轻松搜索，导致密钥传输未加密和易受攻击。

来自Cognosec的ToBiasZillner评论说：

“我们在ZigBee中发现的不足和限制是由制造商创建的。公司希望创建最新的和最伟大的产品，这意味着它们很可能是互联网连接的。”

简单的单元，例如光开关必须与其他设备的整个主机兼容，并且毫不奇怪地，很少考虑安全要求--最可能使成本降低。不幸的是，在此最后一层无线通信标准中的安全风险因此可以被认为是非常高的。

ZigBee的一位发言人告诉ZDNet：

“ZigBee联盟及其成员非常重视安全。我们的成员制定标准和协议，以在易用性和设备之间的安全互动之间达成适当的平衡，以提供最重要的“智能”功能，同时最低限度的暴露。

我们知道从黑帽升级的报告，它似乎在最初的开箱即用的连接中处理了一个奇点（当房主安装了一个新设备时）--这是几百毫秒的密钥交换。Cognosec描述的Hack是存在于在加入网络期间使用开放密钥交换的任何系统的旧密钥。它影响许多不同的技术--不仅仅是基于ZigBee的设备，而且通常由正在安装其设备的消费者引导。

安全必须适合应用，并且方案由手头的资源决定。当没有键盘或监视器时，很难将16位密码输入灯泡。如果方案过于昂贵，安装太困难，或者太耗时，消费者就不会应用它。

ZigBee联盟不断发展其安全选项，以避免不断演变的威胁，我们欢迎这种类型的分析作为一个开放的标准社区。”

免责声明：本文由用户上传，如有侵权请联系删除！