近期,Rapid7安全研究團隊發現了Hickory藍牙智能系列BlueTooth Enabled Deadbolt款式門鎖存在多個安全漏洞,漏洞涉及其移動端APP應用和雲託管的Web服務和MQTT協議。截至漏洞披露期限前,Hickory官方還未對這些漏洞作出認可,也未發佈任何補丁或漏洞修復措施。
Hickory Smart Bluetooth Enabled Deadbolt,平頭鎖,可安裝於傳統門鎖之上的一款智能門鎖,產品型號H076388-SN,其中包含了經過FCC ID 2AEHJSRU233認證的電子元器件,是Rapid7此次重點測試的一款基礎的IoT物聯網設備。它可由Android、iPhone/iPad設備經其移動APP進行控制,且基於雲端對其涉及到的相關Web應用和MQTT中間件代理/服務器進行託管。此次Rapid7測試的Hickory移動應用程序版本為安卓的 01.01.43 和 iOS的 01.01.07,兩個移動程序都名為"Hickory Smart",可在谷歌和蘋果應用商店中進行下載安裝。此外,測試中還用到了型號為SRR533的Hickory Smart Ethernet Bridge H077646。
測試中的門鎖設備都來自Hickory Hardware官方產品,涉及到的移動應用程序為Hickory Hardware上游廠商Delphian Systems公司開發,Delphian Systems還負責對Hickory相關的雲服務器和MQTT服務進行託管部署。
而市場上智能門鎖品牌繁多,良莠不齊。作為普通消費者改如何選擇?作為智能門鎖廠家又如何提高智能門鎖的安全性?作為監管部門又該如何指定相關行業標準?
首先作為消費者,應該選擇有品質保證的大牌廠家的產品,符合國家相關智能門鎖標準,我們從目前的安全漏洞來看,基本都是網絡,軟件方面的問題,所以還應該考慮該公司是否有相關網絡安全,軟件安全方面的測試,是否有安全相關部門進行技術支持。所以消費者在選購時,一定不要購買超出價值底限“無品牌、無服務、無技術”的三無企業產品。
作為門鎖生產企業,在保證機械,電子原件的安全性基礎上,是否能保證網絡,軟件方面的安全性,是否經過了嚴苛的安全性測試,是否符合國家相關技術標準。
據悉《鎖具安全通用技術標準》修訂版正在上報,智能門鎖將成為此次強制性國標修訂的重頭戲。修訂之後,智能門鎖將迎來新國標。
中國五金製品協會執行理事長張東立認為,經過近20年的發展,智能門鎖行業擺脫野蠻生長逐步進入成熟期。數據顯示,2018年智能門鎖整體銷售量超2100萬套,但總體普及率僅為5%,與國際上相比還有很大差距。在韓國,智能門鎖普及率已達90%。
目前國家相關標準:其中國家標準《鎖具安全通用技術條件》(GB21556-2008),作為基礎性標準,明確了對智能門鎖產品的安全性基礎要求;《電子防盜鎖》(GA374-2019)、《指紋防盜鎖通用技術要求》(GA701-2007)、《建築智能門鎖通用技術要求》(JG/T394-2012)等行業標準在國家標準體系下對具體產品做了規定;《電子智能門鎖》(T/CNHA1009-2018)、《智能雲鎖的功能要求》(T/CNHA1009-2018)、《電子鎖用電子控件》(T/CNHA1019-2019)等一系列團體標準,對國家標準做了有效的補充。同時還有大量的針對企業生產實際情況的企業標準也對行業的發展起到了一定的促進作用。
閱讀更多 劍指工控 的文章
