近几年,智能门锁逐渐进入了越来越多的家庭。截至2018年6月底,我国智能门锁生产企业已经超过1500家,接近甚至超过了传统机械制锁规模以上企业的数量,2018年,智能门锁的销量预计可能已经达到了2100万套。
那么,人气渐涨的智能门锁是否更加安全呢?对此,国家部门就在全国范围内,组织了一次智能门锁的风险监测。
门锁产品升级
安全升级了吗?
△央视财经《经济信息联播》栏目视频
不久前,几段视频在网络和微信朋友圈流传,在视频中,有人用一个烟盒大小的盒子在几台智能门锁前来回晃动,几秒钟后,门锁就自动打开了。
在广州市区一个规模较大的五金建材批发零售市场的一家主要销售智能门锁的店铺里,记者注意到,店里摆放的多款产品,都标称经过欧盟、美国的认证。另外一家店铺的销售人员介绍,主推的一款产品两千多块钱,可以通过指纹、密码、感应卡等多种方式开锁,安全性高。
智能门锁销售人员:这个安全性肯定是可靠的。
记者:原先说拿着小黑盒一碰就开。
智能门锁销售人员:这不可能,不存在这个问题。
在淘宝、京东等电商平台输入关键词“智能门锁”,显示有数千种产品。价格从几百元到数万元不等,很多智能门锁首页上都明确标称自己的产品防小黑盒开锁。
国家通用电子元器件及产品质检中心工作人员表示,网上这个小黑盒,专业术语叫特斯拉线圈。它的外形构造就是一个小黑盒,只要把按键按下,就产生一个瞬态的电磁场。
据了解,这个特斯拉线圈个头虽然不大,但是能够瞬间产生强大的电磁场。测试中,当特斯拉线圈靠近这款正常工作的智能门锁附近时,门锁在几秒钟内自动打开了。电磁场也会让有些门锁,内部电路受到干扰,去驱动电机,让电机也能把这个门锁打开。
通过了解,这次风险监测,分别从实体店及网络电商平台采集了38个品牌、40款型号的智能门锁产品,涉及的标称产地有广东、浙江、福建等7个省市,结果显示:40个样品中,有6个批次被特斯拉线圈也就是所谓的小黑盒打开了,占比达到了15%。
指纹 人脸识别均存较高风险
△央视财经《经济信息联播》栏目视频
专家告诉记者,防范“小黑盒”其实并不难,目前市场上主流企业的产品基本已经解决了这一问题。不过,在此次监测中,专家还发现了好几个风险不小的漏洞,其中就包括指纹和人脸识别。
在门锁开启方式上,密码和生物识别是目前我国智能门锁行业应用最多的,所谓生物特征识别技术主要是指纹和人脸识别技术。
国家通用电子元器件及产品质检中心工作人员表示,采样40批次的智能门锁里面有36批次具备指纹识别功能,有10批次存在一些风险隐患,它的风险程度还是比较高的。
专家给记者进行了演示:首先在这款智能门锁指纹识别区贴上一小块胶带,然后用已经录入指纹的手指进行几次开锁,随后找来6位不同年龄的没有录入任何指纹信息的检测人员逐一随机用手指尝试开启门锁,结果门锁都能开启。
记者了解到,有人脸识别开锁功能的智能门锁同样存在较高风险。
国家通用电子元器件及产品质检中心工作人员表示,有4批次产品采用了人脸识别开锁的方式,目前从价格上来看,这4批次的产品都是属于高端的产品。但是监测的情况发现,不符合率是100%。
通过相机拍摄同一个测试对象面部不同角度的照片,打印出黑白照片,利用这些不同角度的照片靠近智能门锁的摄像头前方进行测试,当使用这张正面的照片靠近摄像头某一位置时,门锁开启了。
此外,这次风险监测中,30批次有感应卡开锁功能的智能门锁,发现28批次有风险,占比94%。
专家将一张感应卡放进书包,同时打开手机的近距离无线通信功能,当这部手机靠近书包,一组数据就出现在手机上。专家介绍,攻击者完全可以利用这些读取到的信息复制一张和书包里感应卡开锁信息完全一样的感应卡。
而这款智能门锁的APP,专家通过简单操作后不仅能远距离控制门锁状态,获取用户手机信息,甚至可以反向进入厂商服务器,获取大量使用该品牌智能门锁用户的手机信息。
国家通用电子元器件及产品质检中心工作人员还表示,有10批次产品是支持用移动应用远程控制门锁进行开锁,以及查看记录的功能,这10批次产品当中有8批次存在信息安全的问题。
有关部门建议消费者,尽量不使用或关闭人脸识别功能和远程开锁功能,在日常使用中妥善保管好信息识别卡,防止被非法读取和复制。使用指纹识别智能门锁的消费者,若发现指纹识别模块出现异常,应立即停止使用指纹识别功能,并联系生产企业解决。
通过此次事件可以看出,联网智能锁系统环境中从硬件层到软件应用层均可能存在安全隐患,单一的安全技术已不能保障系统的安全性。密码技术作为信息安全的最关键防线,可以快速、经济的解决联网智能锁的安全性的问题。
基于标识密码技术的
安全智能锁系统方案
本方案基于IBC标识密码技术,综合使用国密SM3/SM4/SM9系列算法,结合CHAP挑战应答、NTLS安全传输协议等安全机制,可以快速实现安全认证、安全通道、安全存储、数据加密、身份认证、数字签名等功能。解决联网智能锁系统中身份认证、数据安全、传输安全、访问控制等多种安全问题,形成完善的解决方案。
SM9标识密码算法以智能锁设备ID、用户手机号等一切唯一的标识作为公钥,无需数字证书,安全分发专属私钥。SM9标识密码算法与CHAP挑战应答机制结合,可以实现强的身份认证;SM9标识密码算法与SM4对称密码算法相结合,实现数据加密保护;SM9标识密码算法与SM3摘要密码算法相结合,实现数据完整性验证与抗抵赖。真正做到以密码技术为核心,从根本上解决联网智能锁系统的安全问题。
安全联网智能锁(NBIOT+蓝牙版)的方案架构如图:
新闻来源:央视财经
转载请注明以上信息
深圳奥联信息安全技术有限公司是国家SM9算法原研和标准编制单位之一,拥有完整的密码算法设计能力和密码产品研制能力,提供基于SM1/2/3/4/9国密算法的密码产品及解决方案。主导或参与了国际标准7项、国家标准4项、行业标准4项,获得国内外数十项密码应用发明专利。
基于国密算法安全解决方案
电子邮件安全解决方案
加密通话安全解决方案
物联网安全解决方案
云安全接入解决方案
工业控制安全解决方案
海外安全通讯解决方案
典型客户
全国人大 | 全国政协 | 国务院办公厅
国家发改委 | 国家信息中心 | 国办应急办
云南省政府 | 四川省政府 | 湖南省政府
中国电信 | 中国移动 | 中国联通
中国人民银行 | 国家开发银行 | 北京银行
微信号:奥联信息安全
