1、ZigBee被曝出有嚴(yán)重的安全漏洞

　　伴隨科技的快速演進(jìn)，物聯(lián)網(wǎng)(The Internet of Things，IoT)概念再次興起，人們身邊的日常用品、終端設(shè)備、家用電器等也逐步被賦予了網(wǎng)絡(luò)連接的能力。然而作為連接上述設(shè)備所廣泛使用的重要無(wú)線互聯(lián)標(biāo)準(zhǔn)之一，ZigBee技術(shù)卻于近期召開(kāi)的2015黑帽大會(huì)(BlackHat2015)上被曝出存在嚴(yán)重的安全漏洞，引發(fā)了業(yè)內(nèi)的廣泛關(guān)注?！　?/p>

　　ZigBee是一種低成本、低功耗、近距離的無(wú)線組網(wǎng)通訊技術(shù)。由于其名稱(ZigBee，Zig“嗡嗡”，Bee“蜜蜂”)來(lái)源于蜜蜂的八字舞，所以該協(xié)議又被稱為紫蜂協(xié)議。在理論層面上來(lái)說(shuō)，它是基于IEEE802.15.4標(biāo)準(zhǔn)的低功耗局域網(wǎng)協(xié)議，主要適合用于自動(dòng)控制和遠(yuǎn)程控制領(lǐng)域，可以嵌入各種設(shè)備中進(jìn)行數(shù)據(jù)的通訊傳輸。目前ZigBee協(xié)議已廣泛存在于諸如智能燈泡、智能門鎖、運(yùn)動(dòng)傳感器、溫度傳感器等大量新興的物聯(lián)網(wǎng)設(shè)備中。

　　然而就在各家公司仍舊將關(guān)注點(diǎn)集中在上述設(shè)備的連通性、兼容性等方面之時(shí)，卻沒(méi)有注意到一些常用的通訊協(xié)議在安全方面的進(jìn)展上則處于滯后狀態(tài)。這不，在剛剛結(jié)束的2015黑帽大會(huì)上，就有安全研究人員指出，在ZigBee技術(shù)的實(shí)施方法中存在一個(gè)嚴(yán)重缺陷。而該缺陷涉及到多種類型的設(shè)備中，黑客有可能以此危害ZigBee網(wǎng)絡(luò)，并“接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)”。

　　研究人員表示，通過(guò)對(duì)每一臺(tái)設(shè)備評(píng)估得出的實(shí)踐安全分析表明，利用ZigBee技術(shù)雖然為設(shè)備的快速聯(lián)網(wǎng)帶來(lái)了便捷，但由于缺乏有效的安全配置選項(xiàng)，致使設(shè)備在配對(duì)流程存在漏洞，黑客將有機(jī)會(huì)從外部嗅探出網(wǎng)絡(luò)的交換密鑰。而ZigBee網(wǎng)絡(luò)的安全性則完全依賴于網(wǎng)絡(luò)密鑰的保密性，因此這個(gè)漏洞的影響將非常的嚴(yán)重。

　　2、硬傷竟是源于使用默認(rèn)鏈路密鑰

　　在安全人員的分析中，他們指出具體問(wèn)題在于，ZigBee協(xié)議標(biāo)準(zhǔn)要求支持不安全的初始密鑰的傳輸，再加上制造商對(duì)默認(rèn)鏈路密鑰的使用——使得黑客有機(jī)會(huì)侵入網(wǎng)絡(luò)，通過(guò)嗅探某個(gè)設(shè)備破解用戶配置文件，并使用默認(rèn)鏈路密鑰加入該網(wǎng)絡(luò)。