中消協(xié)發(fā)布智能門鎖比較試驗報告:半數(shù)樣品指紋識別開啟存在安全風險�。測試的29款樣品中,48.3%的樣品密碼開啟安全存在風險�,50%的樣品指紋識別開啟安全存在風險,85.7%的樣品信息識別卡開啟安存在風險�。
圖片來自“123rf.com.cn”
隨著智能家居概念的火熱及其潮流的推動下,越來越多的家庭開始選擇智能家居產(chǎn)品��。相較于傳統(tǒng)門鎖��,智能門鎖的便利性成為一種新潮流����。據(jù)調(diào)查統(tǒng)計,截止2017年����,國內(nèi)智能門鎖的生產(chǎn)企業(yè)超過2000家,市場規(guī)模達到100億元��。為了迎合消費者的需求,智能門鎖行業(yè)跨界企業(yè)越來越多��。作為智能化家居產(chǎn)品�,機械鎖等五金企業(yè)、家電企業(yè)�����、互聯(lián)網(wǎng)科技企業(yè)�����、安防產(chǎn)品企業(yè)甚至是IT行業(yè)�,都有涉足智能門鎖行業(yè)。
作為家庭的第一道安全保障�,消費者最為關(guān)注的是智能門鎖產(chǎn)品的安全性和穩(wěn)定性����,以及是否存在安全隱患。為了讓消費者了解市場上銷售的智能門鎖的質(zhì)量和安全情況����,中國消費者協(xié)會聯(lián)合四川省保護消費者權(quán)益委員會、深圳市消費者委員會(含龍崗區(qū)消委會���、福田區(qū)消委會)���、佛山市消費者委員會����,對主流的網(wǎng)絡平臺��、線下實體店的部分智能門鎖商品開展了比較試驗����。
29款樣品測試:半數(shù)存在安全風險。
中消協(xié)等部門此次共測試了29款樣品并聯(lián)合發(fā)布智能門鎖比較試驗報告(文末附測試報告)��。報告指出:①48.3%的樣品密碼開啟安全存在風險�����,50%的樣品指紋識別開啟安全存在風險�,85.7%的樣品信息識別卡開啟安存在風險;②僅12款樣品鎖舌強度鎖符合要求�;③僅15款鎖能發(fā)出報警信號。半數(shù)樣品指紋識別開啟存在安全風險�����。
此次測試經(jīng)過業(yè)內(nèi)專家、企業(yè)代表和檢測機構(gòu)討論��,并召開業(yè)界意見征求會后確定了本次比較試驗方案����。分別從信息技術(shù)安全、機械安全���、電源電池安全方面���,測試樣品鎖的各項安全性能、牢固性能�、耐用性能等。
測試內(nèi)容和方法依據(jù)如下標準執(zhí)行:
1.GB/T 35290-2017《信息安全技術(shù) 射頻識別(RFID)系統(tǒng)通用安全技術(shù)要求》
2.GB 21556-2008 《鎖具通用安全技術(shù)條件》�、JG/T 394-2012《建筑智能門鎖通用技術(shù)要求》
3.GB/T 35273-2017《信息安全技術(shù)個人信息安全規(guī)范》
4.GB/T 18336.2-2015《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準則 第2部分:安全功能組件》
5. GB/T 17618-2015《信息技術(shù)設備抗擾度限值和測量方法》
6. YD/T 2408-2013《移動智能終端安全能力測試方法》
信息技術(shù)安全部分測試
只有1款樣品可以被小黑盒打開
電磁錯誤注入技術(shù)(俗稱“小黑盒攻擊”)是指:當給智能門鎖施加強電磁場情況下,門鎖可以出現(xiàn)故障報警��、系統(tǒng)鎖定����、電路損壞等現(xiàn)象��。前一段社會上流傳“小黑盒秒開智能門鎖”的傳聞����,為驗證此傳聞��,本次比較試驗我們增加了小黑盒攻擊的測試���。選取了比《電子防盜鎖標準》場強50V/m高出30倍的強力電磁場強,對29款樣品進行了測試����。
測試結(jié)果:28款樣品小黑盒攻擊后門鎖沒有打開,只有1款線上購買的�、品牌標稱為“亞摩斯”的無生產(chǎn)企業(yè)、無產(chǎn)品型號標注的樣品��,被小黑盒攻擊后打開���。
因此��,只要選擇使用正規(guī)品牌產(chǎn)品����,對小黑盒秒開智能門鎖這件事�����,消費者無需恐慌。
但開鎖方式的安全性有待提高
樣品鎖的開鎖方式一般包括指紋開鎖�����、密碼開鎖和識別卡開鎖三種�。密碼和指紋識別開鎖相比信息識別卡開鎖可靠,通過測試���,29款樣品中���,48.3%的樣品密碼開啟安全存在風險,50%的樣品指紋識別開啟安全存在風險���,85.7%的樣品信息識別卡開啟安存在風險�����。
此前阿里巴巴聯(lián)合眾多IoT合作伙伴計劃聯(lián)盟成員發(fā)布了《2017中國智能鎖應用與發(fā)展白皮書》��。該“白皮書”從中國智能鎖的發(fā)展概況�、市場分析�、行業(yè)問題��、行業(yè)標準、技術(shù)創(chuàng)新等多個維度��,對中國智能鎖行業(yè)進行了深度解讀��,對行業(yè)��、技術(shù)���、產(chǎn)品以及各智能鎖上下游企業(yè)都具有重要的指導意義���。
目前智能鎖市場及行業(yè)雖然非常火熱��,但大多數(shù)用戶還不買賬�����。之所導致這種現(xiàn)狀的���,其原因主要有這幾點:一�����、用戶對智能鎖的認知度不夠�;二、用戶對智能鎖的穩(wěn)定性�����、安全性及品質(zhì)仍持懷疑態(tài)度�;三、相對于機械鎖�����,智能鎖的價格過高����。
其實,用戶的擔心和顧慮并不是沒有道理����,反觀目前智能鎖行業(yè)的現(xiàn)狀,行業(yè)中部分中小廠家在安全保障���、研發(fā)管理���、質(zhì)量管理、供應商管理等方面缺乏經(jīng)驗與管控能力�����,依靠低質(zhì)低價沖擊市場�����,這對智能鎖行業(yè)的發(fā)展及應用的普及帶來巨大的影響�����。
智能鎖安全性問題仍需解決
《2017中國智能鎖應用與發(fā)展白皮書》指出�����,智能鎖安全性問題急需解決���。
智能鎖的安全性主要表現(xiàn)在聯(lián)網(wǎng)的安全性及生物識別認證的安全性兩個方面���。首先來看看聯(lián)網(wǎng)的安全性,眾所周知只要有網(wǎng)絡的地方�,就會存在安全隱患。
而目前智能鎖聯(lián)網(wǎng)已是大勢所趨���,所以智能鎖聯(lián)網(wǎng)的安全性不容忽視�����。但是目前所有聯(lián)網(wǎng)的智能產(chǎn)品的安全都是相對的��,雖然目前大多數(shù)智能鎖企業(yè)的產(chǎn)品從新品到程序設計��,再到網(wǎng)絡傳輸及密碼授權(quán)等都進行了嚴格的加密��,仍防不住黑客的攻擊�����。但是黑客的攻擊一般都是目的性和針對性的��,不會付出巨大的成本去破解一把民用鎖具��。而對一般的小偷來說����,他們不具備攻擊網(wǎng)絡的能力,所以這方面的安全性對于企業(yè)來說是必須重視的��,但對于普通用戶來說也不必因網(wǎng)絡上的各種破解傳言而恐慌����。
在生物識別認證安全性方面��,白皮書指出:由于指紋存在著一定程度上的可復制性���,因此在安全性能上存在著一定的瑕疵,特別是不同的皮膚情況�����,濕度情況�����,指紋識別的認證效果也存在著很大不同����,拒真率����、認假率方面在保證安全上仍然有著較大的提升空間。
目前開始流行的人臉識別認證����,由于其算法、功耗、場景應用等方面��,也無法做到100%的識別準確率�����,提升的空間較大;在認證的速率方面����,指紋識別、指靜脈識別由于在技術(shù)上的成熟性���,速率較快���,人臉認證速率仍然需要提升。
智能鎖還存在其他方面的安全隱患
首先是智能鎖密碼鍵盤組件的安全風險�。目前大多智能鎖均無鍵盤無遮擋,密碼存在被偷窺風險����;智能鎖在鍵盤表面安裝overlay,存在獲取密碼風險��;此外����,智能鎖上不同按鍵聲音可能不同����,存在泄露密碼的風險�;更值得一提的是,很多智能鎖缺少主動探測的防拆機制���,存在安裝物理攻擊設備竊取密碼的風險����。
其次�,IC卡組件的安全風險�。ID卡等只判斷卡片ID號,很容易通過卡片復制���,實現(xiàn)開鎖�����。而mifare 1等類似的邏輯卡����,可以從市面購買讀卡器,實現(xiàn)復制卡片�;再次是CPU卡,如果IC卡沒有安全級別認證���,可通過攻擊手段實現(xiàn)卡片復制��。
