几维资讯> 行业资讯

消协一口气检测了38款智能门锁,竟没有1款“完全合格”

几维安全 2019-08-13 15:07:07   430
分享到:

近几年,使用IC卡、密码、指纹等开锁的智能门锁逐渐走进千家万户。这些门锁以超乎传统门锁的便利性引起消费者的关注,但在提供便利的同时,是否还能完成它本来的使命——安全防范呢?近日,消费者协会的一份测试结果触目惊心……

深夜大门自行打开 都是智能门锁惹的祸

前不久,青岛的张先生家里发生了一件非常奇怪的事情:一天晚上,当全家入睡后,家里的大门竟然悄悄打开了。

智能门锁-安全1.gif

张先生第一时间报了警,而结果却让他有些意外:监控显示门口没有人,多方排查之后发现,是智能门锁自己打开了。

这款智能门锁是张先生2018年10月花了1599元购买的,才用了半年多的时间,就发生这样的事,这让他们一家人都很不安。

活体指纹门锁:假指纹均可解锁

北京、天津、河北三地消费者协会近日委托中国家电研究院对网售智能门锁进行测试,测试样品为28个品牌的38款智能门锁。测试项目主要包括电磁兼容试验、环境试验、IC卡解锁试验、指纹解锁试验、密码逻辑安全性和电路非正常试验。

智能门锁-安全2.jpeg

记者走访了近十家销售智能门锁的店铺,几乎每家店铺的销售人员都推荐了带有活体指纹的智能门锁,在各大电商平台输入关键词“智能门锁”,显示有超过两万种产品。

销售人员:就是不会像最早的时候,复制一个指纹膜就可以开锁了。活体指纹是你必须要有流动的血液,它才会有识别效果。

智能门锁-安全3.jpeg

而据销售人员介绍,使用了活体指纹技术的门锁科技性更强,更安全,售价也更高。那么,这些活体指纹锁真得物有所值吗?

在此次试验中,有14款智能门锁样品宣称采用活体指纹检测技术,对假指纹可以进行防护,但检测人员使用假指纹进行试验时,均被轻易解锁。涉及标称“固特”、“金点原子”、“凯迪仕”等多个品牌的样品。

智能门锁-安全4.gif

IC卡解锁门锁:超九成可轻易破解

在本次试验的样品中,有26款为IC卡解锁。试验结果显示,有24款样品的IC卡可被破解、复制 。

智能门锁-安全5.jpeg

中国家用电器研究院检测认证有限公司 检测所副所长 副总工程师 李红伟:这些IC卡是有一定的数据存储能力的,但是厂商在用的时候只用了数据很小的一部分加密,或者是没有加密,这就是造成容易复制的一个根本原因。

密码智能门锁:长度短 容错次数多

密码设置是智能门锁的主要功能之一,此次比较试验从虚位密码长度、密码有效长度、允许输入错误密码次数和锁屏时间四个方面对样品进行了横向比较。

智能门锁-安全6.jpeg

专家介绍,智能门锁的密码设置存在以下问题:一是密码长度过短,有的只有四位;二是允许输入错误密码次数过多,有的高达20次。

出现单一故障时 近八成解锁上锁异常

专家强调,所有电子产品都需要考虑在故障条件下产品的功能可靠性,单一故障不能造成核心功能的丧失。

在此次试验中,检测人员针对38款智能门锁施加了单一故障,有30款智能门锁样品在单一故障条件下出现解锁异常或上锁异常的情况,只有8款智能门锁样品在此条件下不受影响。

没有任何一款智能门锁通过所有检测

当检测人员完成所有单项检测,对数据进行汇总分析时,发现了一个让人担忧的事实:没有任何一款智能门锁通过所有项目检测。

检测结果显示,38款智能门锁样品均存在或多或少的安全风险;超一半样品存在三项或三项以上安全风险;有8款智能门锁样品存在四项或四项以上的安全风险。

智能门锁-安全7.jpeg

以为安全却并不安全的锁 比不上锁更危险

近年来,智能门锁的安全性一直都是热点问题。

2018年底,国家市场监管总局对40款智能门锁做了风险监测,25%的样品指纹识别功能存在安全风险。

2019年5月,中国消费者协会等对29款主流智能门锁商品开展了比较试验,结果显示,48.3%的样品密码开启存在安全风险,50%的样品指纹识别开启存在安全风险,85.7%的样品信息识别卡开启存在安全风险,开锁方式的安全性有待提高。

智能门锁-安全8.jpeg

当消费者认为自己施加了一把高科技,高安全性的锁,但其实这把锁又不靠谱的时候,消费者面临的安全风险最大,这其实比不上锁或者采用了一把传统的普通门锁都危险得多。专家认为,国家应尽快出台相关针对性的标准,引导智能门锁行业健康、快速发展。智能门锁行业、监管机构和各类消费者组织应该一起携手,让消费者早日用上安全又便利的智能门锁。

智能门锁移动互联网安全加固技术策略建议

经过多年研究和实践,几维安全结合智能门锁应用场景特征及安全隐患进行分析研究,以国家政策、行业标准规范为指引,结合公司技术研究提出智能门锁移动互联网安全加固策略建议,包括:

1、云管端防护策略

安全的保障需要多环节共同协同实现,从智能门锁功能实现主要组建入手,从云管端进行安全加固整体解决方案的构建是实现安全目标的关键。

2、终端固件和APP代码虚拟化保护

保护智能门锁最核心的部分(固件+APP),确保最核心的密钥和业务逻辑不被攻击者逆向破解,从而保障智能锁不被攻击。传统的安全加固只能针对黑盒的APP(.apk/.ipa)状态的应用进行安全加密,KiwiVM虚拟机基于LLVM从源代码编译阶段虚拟化源代码,可以适用于各个平台和架构,换句话说,只要研发平台可以使用LLVM编译器,均可使用KiwiVM针对源代码进行虚拟化加密。这样才有KiwiVM即可同时对固件和APP进行安全加固,保障两者不被攻击者逆向分析破解。

3、虚拟化实现

通过前端代码采集套件,采集源代码,利用LLVM-IR进行代码虚拟化,最终编译为适用平台的可执行文件。

(来源:央视新闻)

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》