ZigBee被曝出有嚴重的安全漏洞

2022-09-23 09:09:08 字數 1529 閱讀 1873

1、zigbee被曝出有嚴重的安全漏洞

伴隨科技的快速演進,物聯網(the internet of things,iot)概念再次興起,人們身邊的日常用品、終端裝置、家用電器等也逐步被賦予了網路連線的能力。然而作為連線上述裝置所廣泛使用的重要無線互聯標準之一,zigbee技術卻於近期召開的2015黑帽大會(blackhat2015)上被曝出存在嚴重的安全漏洞,引發了業內的廣泛關注。

zigbee是一種低成本、低功耗、近距離的無線組網通訊技術。由於其名稱(zigbee,zig「嗡嗡」,bee「蜜蜂」)**於蜜蜂的八字舞,所以該協議又被稱為紫蜂協議。在理論層面上來說,它是基於ieee802.15.4標準的低功耗區域網協議,主要適合用於自動控制和遠端控制領域,可以嵌入各種裝置中進行資料的通訊傳輸。目前zigbee協議已廣泛存在於諸如智慧型燈泡、智慧型門鎖、運動感測器、溫度感測器等大量新興的物聯網裝置中。

然而就在各家公司仍舊將關注點集中在上述裝置的連通性、相容性等方面之時,卻沒有注意到一些常用的通訊協議在安全方面的進展上則處於滯後狀態。這不,在剛剛結束的2015黑帽大會上,就有安全研究人員指出,在zigbee技術的實施方法中存在乙個嚴重缺陷。而該缺陷涉及到多種型別的裝置中,黑客有可能以此危害zigbee網路,並「接管該網路內所有互聯裝置的控制權」。

研究人員表示,通過對每一台裝置評估得出的實踐安全分析表明,利用zigbee技術雖然為裝置的快速聯網帶來了便捷,但由於缺乏有效的安全配置選項,致使裝置在配對流程存在漏洞,黑客將有機會從外部嗅探出網路的交換金鑰。而zigbee網路的安全性則完全依賴於網路金鑰的保密性,因此這個漏洞的影響將非常的嚴重。

2、硬傷竟是源於使用預設鏈路金鑰

在安全人員的分析中,他們指出具體問題在於,zigbee協議標準要求支援不安全的初始金鑰的傳輸,再加上製造商對預設鏈路金鑰的使用——使得黑客有機會侵入網路,通過嗅探某個裝置破解使用者配置檔案,並使用預設鏈路金鑰加入該網路。

然而,預設鏈路金鑰的使用給網路金鑰的保密性帶來了極大的風險。因為zigbee的安全性很大程度上依賴於金鑰的保密性,即加密金鑰安全的初始化及傳輸過程,因此這種開倒車的預設金鑰使用機制必須被視作嚴重風險。

安全人員表示,如果攻擊者能夠嗅探一台裝置並使用預設鏈路金鑰加入網路,那麼該網路的在用金鑰就不再安全,整個網路的通訊機密性也可以判定為不安全。

可實際上,zigbee協議標準本身的設計問題並不是引發上述漏洞的原因。上述漏洞的根源更多地被指向了由於製造商為了生產出方便易用、可與其它聯網裝置無縫協作的裝置,同時又要最大化地壓低裝置成本,而不顧及在安全層面上採用必要的安全性考量

安全人員對zigbee漏洞總結

安全人員指出,在對智慧型燈泡、智慧型門鎖、運動感測器、溫度感測器等所做的測試中顯示,這些裝置的**商僅部署了最少數量的要求認證的功能。其它提高安全級別的選項都沒被部署,也沒有開放給終端使用者。而這種情況下所帶來的安全隱患,其嚴重程度將是非常高的。

綜上,正如無線路由器會曝出存在預設管理密碼的安全漏洞一樣,現在被部署於大量智慧型裝置中的zigbee協議也被裝置製造商隨意濫用,導致使用該協議的家用或企業級互聯裝置暴露在惡意攻擊者的覬覦之下。由此可見,在確保智慧型裝置獲得出色的互通性與普及性同時,如何還能為消費者兼顧安全層面上的可靠防護,才是當前智慧型裝置廠商最該做的。

WinRAR被曝嚴重安全漏洞 5億使用者受影響

簡單來說,該漏洞允許安全專家繞過許可權提公升就能執行winrar,而且可以直接將惡意檔案放進windows系統的啟動資料夾中。這就意味著當使用者下次重新開機的時候,這些惡意檔案就能自動執行,讓安全專家 完全控制 受害者的計算機。安全專家表示,全球有超過5億使用者受到winrar漏洞影響。漏洞評級 高...

WinRAR被曝嚴重安全漏洞 5億使用者受影響

在享譽全球成為必備裝機軟體的同時,過去 19 年以來winrar也深受各種嚴重安全漏洞的負面影響。根據安全公司ch point研究人員披露的細節,在winrar的unacev2.dll 庫中發現嚴重安全漏洞,而該庫自 2005 年以來就一直沒有被主動使用過。winrar在開啟 booby trapp...

IE被曝嚴重漏洞 專家建議更換

北京時間9月18日早間訊息,多名計算機安全專家本週表示,由於乙個新發現的漏洞,pc使用者應當暫停使用微軟ie瀏覽器。資訊保安公司rapid7工程經理托德。貝爾德斯利 tod beardsley 表示 黑客有可能利用這一漏洞在你的電腦中從事非法活動。他們將可以獲得你電腦中的所有檔案。微軟則在乙份宣告中...