当前位置: 新闻资讯  科学技术   小黑盒就能轻易打开智能锁 我们的门锁为何如此不堪一击?

小黑盒就能轻易打开智能锁 我们的门锁为何如此不堪一击?

发表于:2019-01-09 关注 

小黑盒就能轻易打开智能锁 我们的门锁为何如此不堪一击?

来源:腾讯科技    时间:2019年01月09日

  在最近几年里,智能门锁正在变得越来越流行。和普通门锁相比,智能门锁使用起来要方便不少。你不再需要携带钥匙,仅凭密码、感应卡、指纹、面部、甚至是手机控制就能开锁。有了它的存在,你不必再担心钥匙忘带或丢失而进不了家门。

  但是,智能门锁所带来的方便并非没有代价。除了更高的价格之外,智能门锁的安全性也饱受质疑。指纹锁是否能被指纹膜开启?人脸识别是否会被照片骗过?感应卡是否会被复制?远程控制是否会被破解?都是每一个消费者在购买智能锁之前,反复询问,想要得到明确答复的问题。

  而在昨天,中央电视台每周质量报告中再次提及智能锁的安全性问题,广州市国家通用电子元器件及产品质量监督检验中心,对全国范围内的智能门锁产品进行了一次风险监测。四十款检测产品中,能被特斯拉小黑盒轻易打开的多达6个批次,占比高达15%,这无疑又让智能锁的安全性笼罩上了一层黑云。

  智能锁真的是如此不堪一击?检测员手中的小黑盒又为什么能轻易的打开智能锁呢?

智能锁安全吗?

抱歉,它确实存在安全风险

  先明确一个问题:很遗憾,智能门锁的安全风险确实都是存在的。

  在央视的报道中,广州国家通用电子元器件及产品质量监督检验中心检测的40款智能门锁中,有36款支持指纹识别的产品,有10款存在安全隐患。在使用胶带遮挡指纹识别区域之后,没有录入指纹的人也能用自己的手指开锁。更可怕的是,测试中4款支持人脸识别的高端智能门锁都会被照片骗过,不合格率达到100%。

  在30款支持感应卡开锁的智能门锁当中,有28款存在安全风险,占比达到94%。感应卡的问题在于存在被复制的风险。感应卡全都基于NFC技术,因此当中的信息能够被设备(比如智能手机)所读取。获取到相关信息之后,进行复制也不是件难事。

  此外,部分智能门锁所提供的远程控制功能也存在安全漏洞。在10款支持远程控制的产品当中,有8款存在信息安全问题。专家经过简单操作之后就能对门锁进行远程控制,获取用户的手机信息,甚至是反向入侵到厂商的服务器,获取到大量的用户信息。

  而本次安全监测当中最让人担心的,是一个神秘的“小黑盒”。这个装置和烟盒差不多大,只要拿着它在智能门锁上来回晃动,几秒钟就能开锁。在本次测试的40款产品当中,有6款被这个小黑盒成功打开,占比为15%。

小黑盒真的是智能门锁的克星吗?

  这个神秘的小黑盒,网上的人更乐于叫它“上分器”,他的原理类似于特斯拉线圈(但它并不是严格意义上的特斯拉线圈),本质上是一个emp(电磁脉冲)电路,主要用来生产超高电压但低电流、高频率的交流电力。

  用来开锁的小黑盒是emp电路的微型版本,虽然功率没有高到会伤害人体的程度,但的确能够对智能门锁这样的电子设备产生相当大的过流影响。


  那么小黑盒是如何打开智能门锁的呢?我们咨询了相关产业内的人士,而他们也告知了小黑盒开启门锁的秘密。

  实际上每一款智能门锁都是由锁芯内的电机驱动开锁和关锁的,而控制锁芯的是一整套完整的电路,而电路的核心是一枚IC控制芯片。

  小黑盒的作用是通过瞬间产生的超高电压给控制芯片通电,让芯片在「某一个特定时间点」内的流过芯片本身的电流瞬间增大,导致控制芯片出现问题,轻则启动自我保护机制主动重启,重则击穿烧毁。

  而在很多智能锁厂商的产品设计之初,会定义如果控制芯片重启恢复初始设置的时候,锁舌是自动收起的,因此也就出现了测试中被小黑盒攻击的部分智能门锁被打开的情况。而这种考量也是因人而异的,在小黑盒事件爆发后,很多正规门锁厂商都默认在IC芯片重启后,保持锁舌当前的状态,不回弹锁舌。

  而更多的安全隐患来自厂商出产产品时的成本考量,根据业内人士的说法,现在行业内普遍对于emp攻击没有完全阻隔的办法,只能通过增加稳压模块、过载保护、防电磁屏蔽等措施在「一定程度上」保证类似手持型的emp电路攻击器失效。但这势必要增加智能门锁的成本,对于一些toB的厂商来说,成本可是他们的红线,因此这样没有经过特殊保护的门锁也就大量出现在了市场中。

  从本次安全监测的结果也能看出,小黑盒对于智能门锁并不是百试百灵,40款产品当中只有6款能被打开,这也就从侧面证明,只要安全防护功能到位,智能门锁其实是相对安全的。因此,不管是已经购买了智能门锁的用户,还是有意购买智能门锁的消费者,只要选择正规厂商的产品,而不是只挑便宜货,就不必对此太过担心。

智能门锁的国家标准亟待出台


  当然,产品安全并不能仅依赖于厂商的自觉性,还需国家出台相应的标准。而到目前为止,我们国家还没有智能锁严格意义上的「国标」出台,所有的智能门锁还在依照原有的「通用锁具安全技术标准」执行。

  目前我国针对智能门锁的标准主要有如下几个:

  1、《锁具安全通用技术条件》(GB21556-2008)在行业中被称之为锁具的大国标,当中包括11类产品,基本涵盖了目前市面上的全部民用锁具产品。其中智能门锁产品在4.10条款中有体现,当中共有23项强制性技术要求,包括电子、识读、机械、使用环境等几个方面。此外,标准还对高安全防护等级和普通防护等级做了区分,其中高安全防护等级为A级,普通防护等级为B级。需要注意的是,GB21556-2008是智能门锁的强制性标准要求,厂商必须要达到。

  2、《电子防盗锁》(GA/T374-2001)是国内针对智能门锁较早的行业性推荐标准,目前已经执行了近16年。该标准对防盗锁的范围进行了定义,涵盖了防盗锁在机械、电子、防护、环境和安装等方面内容,同时也对锁具的安全等级进行了划分,其中A级为普通防护等级,B级为高安全等级。

  3、《指纹防盗锁通用技术条件》(GA/T701-2007)是一项仅针对指纹防盗锁的推荐性标准,对电子、防护、机械、环境等方面做出了技术性的要求。该标准也提供了安全等级评定,其中A级为普通防护等级,B级为高安全等级。

  4、《建筑智能门锁通用技术要求》(JG/T394-2012)是4个标准当中最新制定的,于2013年初实行,并且也是一项推荐性标准。这项标准的的针对性更强,对智能门锁电子部分的要求更加细致,同时也根据安全、耐用和使用环境分别设定了等级,其中安全部分分为三级,以罗马数字指代,最高Ⅰ级最低Ⅲ级;耐用度以字母G、D指代,G为高D为低;使用环境按照室内和室外进行了划分,W为室外N为室内。但是,这个标准目前在智能门锁行业中的应用还不是很广泛。

  总的来说,《锁具安全通用技术条件》(GB21556-2008)是国家针对锁具(包括智能门锁)的强制性标准,所有产品都必须遵守;《电子防盗锁》(GA/T374-2001)和《指纹防盗锁通用技术条件》(GA/T701-2007)虽然只是推荐标准,但目前已经在行业内被广泛任何;《建筑智能门锁通用技术要求》(JG/T394-2012)由于推出时间较短,目前还未被广泛应用。

  尽管是行业内的共识,但由于没有国家标准这样严格意义上的规定,因此也让一些智能门锁的厂商钻了空子,市面上实际上很多的门锁在整体的安全性上是没有通过类似“公安部下属安全检测机构”的检测认证的,整体的安全性也就无从谈起。

  诸多原因造成了目前我国智能门锁市场的混乱,我们也希望对于智能门锁的「国标」尽早出台,也能在一定程度上约束智能门锁厂商及其产品的规范性。

如何鉴别智能锁是否安全?

目前尚无统一标准

  那消费者如何能在日常的使用中鉴别所购买的智能锁是否安全可靠呢?由于没有国标以及测试标准,到目前为止,市场对于智能锁基础安全性能的约束力不足,导致用户确实很难从一个或者几个维度测试智能门锁是否可以抵御普遍的攻击形式。

  而我们也在淘宝,京东等电商平台搜索了与「小黑盒」、「特斯拉线圈」等相关的关键词,电商平台已经将类似产品下架处理,也从一个侧面印证了该类设备具有非常大的安全隐患。

  早在去年10月29日国家市场监督管理总局曾出台过一个「智能门锁质量安全消费警示」,提示给出了九点针对目前智能门锁安全性的购买建议,包括:

  一是尽量选择信誉好的大型专卖店购买,注意查看产品使用说明书、厂名厂址、供应商地址电话、保修单等证书和信息是否齐全,购买时向商家索取发票等有效凭证。通过网络平台购买时,尽量选择生产企业官网或者网购平台官方旗舰店进行购买。

  二是本次风险监测发现,搭载人脸识别功能和远程开锁功能的智能门锁安全风险较高,建议消费者尽量不使用或关闭人脸识别功能和远程开锁功能。

  三是建议选购具有输入错误报警和防破坏报警功能的智能门锁,当连续多次实施错误操作或防护面板遭受外力破坏时,智能门锁应有相应报警信号提示。

  四是在使用信息识别卡开锁功能的智能门锁时,应在日常使用中妥善保管好信息识别卡,防止被非法读取和复制。

  五是在使用数字密码开锁功能时,建议用户设置6位以上的数字密码,勿使用连续数字或相同数字的密码。

  六是在使用带有指纹识别功能的智能门锁时,应在日常使用中留意指纹识别模块是否存在残留异物或物理损坏,若发现指纹识别模块出现异常,应立即停止使用指纹识别功能,并联系生产企业解决。

  七是在使用配备移动应用远程监测的智能门锁时,为加强智能门锁的安全系数,建议设置一定强度的登录密码并定期更换,如:八位密码长度,数字和字母的组合等。

  八是智能门锁配备应急开锁功能,一般采用机械方式应急开启,建议消费者至少将1把应急开锁钥匙保留在除家以外的安全地点。

  九是建议启用组合验证的开锁方式,如使用密码+指纹、密码+信息识别卡等双重身份验证。

  很显然,这个提示本身并不具有规范性,只有指导性,从这一点也能看出,目前智能门锁市场的约束力和规划化有待提高。

快速发展的智能门锁市场需要约束力

  由于发展势头迅猛,智能锁的品牌可谓琳琅满目。不仅有三星、松下、耶鲁和德施曼这些国外知名厂商,海尔、美的和TCL这些国内家电厂商,众多名不见经传的小厂商,一些我们所熟悉的互联网企业也看到了这个市场的快速发展,并打算从中分一杯羹。小米对于智能锁显然很感兴趣,他们的米家生态链当中就有鹿客和绿米这样的智能锁企业。在去年年底,米家自己也推出了一款智能门锁,售价仅1299元。

  在去年,天猫发布了《2018中国智能锁消费白皮书》。从中可以看出,智能锁市场目前还处于成长阶段。

  在2018年,智能锁在我国的渗透率仅为5%左右,并且主要集中在一二线城市。但是,整个市场的增长势头非常强劲。等到2020年,中国智能锁市场的渗透率预计会达到19.75%,销量将突破3200万套,大幅缩小同日韩等成熟市场的差距。

  白皮书中提到,消费者不愿更换智能锁的原因主要有安全担忧、容易损坏和价格太贵三大原因,这些需要厂商在宣传上多下功夫,同时进一步提高产品本身的安全性和耐用程度。

  而从目前的情况来看,智能门锁的安全性是所有用户最为关心的基础指标之一,它在智能门锁功能金字塔的底部处于基石的位置,影响到了整个智能门锁行业的发展。

  而针对目前网上和电视上曝光的小黑盒攻击,实际上众多正规的智能门锁生产厂商已经有了良好的应对措施,但谁敢保证「下一个小黑盒」什么时候会出现呢?

  智能门锁在我国的发展实际上已经有不短的时间了,但整体行业的混乱是有目共睹的,低成本快速扩张占领toB市场成为很多小厂商廉价产品的出货集散地,而这些智能门锁是不是真的能为你的家筑起第一道安全防线,我们要在心里打一个大大的问号。

  我们也希望国家对于智能门锁这样安全意义远大于科技意义的「舶来品」能尽早出台相关行业标准,保证智能门锁生产以及使用的规范化,让智能门锁市场不再无章可循。