5月13号,网络安全领域又爆出了一个巨大的负面消息: 一款勒索病毒横行全球数十国家,而欧洲、中国和美国成为重灾区,中国多所大学遭到攻击。联想到去年,美国遭受了瘫痪半个国家的物联网黑客攻击,是否这样的事情会成为一种悲剧的轮回?
就在同一天,Geekpwn2017年的年中赛上,作为全球首次海上安全极客大赛,一群白帽黑客在进行网络安全攻防战。这次到了公海上,他们自然会将网络安全的演习进行的彻彻底底。
形同虚设的智能门锁
来自百度安全实验室的谢海阔与黄正,将自己破解课题的目标指向了A220果加互联网智能锁。
由于现场的网络比较差,给审核人员通过后台修改智能锁密码造成了困扰,然而就在密码修改成功之后,他们在不接触门锁,只是靠近的情况下,便几乎瞬间破解了智能锁的密码,这样王琦直呼“我就跟托一样”。
根据谢海阔、黄正介绍,这款智能锁的漏洞在于其网关不严谨的默认设置,导致了任何人只要来到锁的附近,都能获取设备的序列号,通过逆向分析,便可破解通信协议、得知密码加解密算法,最终获得门锁的密码。评委万涛认为,理论上利用这个漏洞可实现十分钟内获得此品牌销往全国的所有智能锁的密码。
“我住的公寓用的就是果加的锁”,当被问到为什么针对果加时,他们给出了这个答案,而且对于在相似逻辑的产品,他们认为这个问题也可能同样存在着。
他们对钛媒体讲,自己曾经做过一个解锁的App,结果在小区溜达的时候,便拿到了很多小区用户的门锁密码,当然他们从来没有去解锁。
他们讲,解决这个漏洞首先是厂商要下发新的固件,把智能锁网关的外发信息关闭,或是多加一层加密;其次是网关和智能锁的加密算法要改进,不能说拿到加密数据后,通过逆向运算便可以还原锁的地址和密码。
作为拥有百万用户的果加智能产品,其在链家自如、万科、绿地、途家小猪等企业中有着广泛的应用,一道形同虚设的门锁,能够保护谁的安全呢?