指纹密码锁厂家

智能门锁安全风险评估:可能出现的五个安全漏洞

发布日期:2019-04-03 作者: 点击:

    根据智能门锁的组网体系架构,其安全风险可以划分为以下五个方面:济南智能指纹密码锁安全风险(针对智能门锁设备的攻击)、移动应用安全风险(针对智能门锁手机APP的攻击)、近场通信安全风险(针对WIFI、ZigBee、蓝牙、433和315等通信方式的攻击)、网络安全风险(针对家庭智能网关和有线数据拦截的攻击)和应用安全风险(针对智能门锁云平台的攻击)。

    智能门锁安全风险

    1、生物钥匙攻击

    智能门锁的常用生物钥匙中,虹膜和人脸的伪造难度较高,已知的攻击风险较小,但指纹和掌纹有较高的伪造风险,难度低,已经比较常见。

    2、指纹识别攻击固定密码安全

    在使用固定密码的智能门锁中,经常出现使用默认密码、后门密码、密码逻辑漏洞和短密码等问题,并存在密码泄漏等现象。

    3、固定密码攻击

    固件窃取和逆向

    攻击者拆开智能门锁后,通过专用工具从固件存储器中读取固件内容,然后逆向分析固件存在的漏洞,再结合其它攻击手段对漏洞进行利用。

密码指纹锁价格

    4、无线馈电攻击

    (1)原理分析

    无线馈电是一项应用广泛的技术,包括电磁炉、无线充电、非接触卡等。一些智能门锁由于设计缺陷,在布线及电路设计时没有考虑电磁干扰问题。攻击者可以利用特斯拉线圈通过无线电波干扰,使得智能门锁的内部电路产生直流馈电。

    如果这种直流馈电足够高,将触发智能门锁小型电机驱动锁芯实现开锁。或者导致MCU的逻辑异常而重启,有的智能门锁默认重启后会自动开锁。

    (2)案例分析

    2018年5月26日,第九届中国(永康)国际门业博览会上,一位女士以一个小黑盒连续打开了多家品牌的高级智能密码锁,最短的时间只有3秒,一篇名为《那个女人毁了整个指纹锁行业》的文章迅速蹿红,成为智能门锁圈的恶梦。

    “小黑盒”的原理是特斯拉线圈通电后,可能产生两种效果:一是利用智能门锁电路的馈电系统驱动电流打开门锁;二是该线圈产生强电磁脉冲攻击智能门锁芯片,会造成芯片死机并重启,有的智能门锁默认重启后会自动开锁。

    5、移动应用安全风险

    (1)原理分析

    移动应用APP中存在各种常见的安全风险,如:移动端APP代码中或者固件中使用固定的加解密密钥;移动端APP代码没有采用加固和混淆技术使得代码被完整逆向,进而了解并破解开锁机制然后构造控制指令进行攻击;开发人员遗留的代码BUG问题,有可能导致绕过相关权限验证;移动端操作系统出现相关漏洞,导致被植入恶意代码进而控制手机实现攻击;移动端APP和设备之间的认证问题,如果移动端APP和设备之间的认证过程出现漏洞,这就容易导致中间人攻击,即伪造一个假移动端APP和真实设备进行通信达到欺骗目的进而实现攻击。

    攻击者利用智能门锁对应的APP存在的这些漏洞或缺陷,绕过智能门锁、APP和云端服务预先设定的逻辑,实现非授权的开锁操作。

    (2)案例分析

    某品牌智能济南指纹锁存在密码重置漏洞。我们通过逆向智能门锁APP,分析其代码逻辑及智能门锁APP与云端网络交互的报文,掌握了相关云端接口的定义。发现该品牌锁的某个业务接口缺少用户合法性验证,攻击者可以利用已经掌握的用户信息,绕过合法性验证进行密码重置。攻击者利用重置后的密码完成登录后,可以进行开锁和修改用户信息等操作。在此研究基础上,我们又做了进一步的安全分析,发现了一个影响更大的安全问题:攻击者通过该漏洞可以获取该智能门锁产品的全部用户资料,包括手机号和开门密码。由于该漏洞不依赖手机验证码,这种攻击具有更大的隐蔽性,因此危害更大。

    鉴于以上五类智能门锁可能会出现的安全问题,对于个人用户来说,应尽量选用知名品牌厂商生产、性价比适合自身的智能门锁产品。

本文网址:http://www.cnbpaf.com/news/474.html

关键词:密码指纹锁销售,密码指纹锁价格,密码指纹锁咨询

最近浏览:

相关产品:

  • 在线客服
  • 联系电话
    18663733311
  • 在线留言
  • 手机网站
  • 在线咨询
    欢迎给我们留言
    请在此输入留言内容,我们会尽快与您联系。
    姓名
    联系人
    电话
    座机/手机号码
    邮箱
    邮箱
    地址
    地址