29家智能锁大比拼 智能锁安全性问题仍需解决
扫描二维码
随时随地手机看文章
随着智能家居概念的火热及其潮流的推动下,越来越多的家庭开始选择智能家居产品。相较于传统门锁,智能门锁的便利性成为一种新潮流。据调查统计,截止2017年,国内智能门锁的生产企业超过2000家,市场规模达到100亿元。为了迎合消费者的需求,智能门锁行业跨界企业越来越多。作为智能化家居产品,机械锁等五金企业、家电企业、互联网科技企业、安防产品企业甚至是IT行业,都有涉足智能门锁行业。
作为家庭的第一道安全保障,消费者为关注的是智能门锁产品的安全性和稳定性,以及是否存在安全隐患。为了让消费者了解市场上销售的智能门锁的质量和安全情况,中国消费者协会联合四川省保护消费者权益委员会、深圳市消费者委员会(含龙岗区消委会、福田区消委会)、佛山市消费者委员会,对主流的网络平台、线下实体店的部分智能门锁商品开展了比较试验。
29款样品测试:半数存在安全风险
中消协等部门此次共测试了29款样品并联合发布智能门锁比较试验报告(文末附测试报告)。报告指出:①48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安存在风险;②仅12款样品锁舌强度锁符合要求;③仅15款锁能发出报警信号。半数样品指纹识别开启存在安全风险。
此次测试经过业内专家、企业代表和检测机构讨论,并召开业界意见征求会后确定了本次比较试验方案。分别从信息技术安全、机械安全、电源电池安全方面,测试样品锁的各项安全性能、牢固性能、耐用性能等。
测试内容和方法依据如下标准执行:
1.GB/T 35290-2017《信息安全技术 射频识别(RFID)系统通用安全技术要求》
2.GB 21556-2008 《锁具通用安全技术条件》、JG/T 394-2012《建筑智能门锁通用技术要求》
3.GB/T 35273-2017《信息安全技术个人信息安全规范》
4.GB/T 18336.2-2015《信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件》
5. GB/T 17618-2015《信息技术设备抗扰度限值和测量方法》
6. YD/T 2408-2013《移动智能终端安全能力测试方法》
信息技术安全部分测试,只有1款样品可以被小黑盒打开
电磁错误注入技术(俗称“小黑盒攻击”)是指:当给智能门锁施加强电磁场情况下,门锁可以出现故障报警、系统锁定、电路损坏等现象。前一段流传“小黑盒秒开智能门锁”的传闻,为验证此传闻,本次比较试验我们增加了小黑盒攻击的测试。选取了比《电子防盗锁标准》场强50V/m高出30倍的强力电磁场强,对29款样品进行了测试。
测试结果:28款样品小黑盒攻击后门锁没有打开,只有1款线上购买的、品牌标称为“亚摩斯”的无生产企业、无产品型号标注的样品,被小黑盒攻击后打开。
因此,只要选择使用正规品牌产品,对小黑盒秒开智能门锁这件事,消费者无需恐慌。
但开锁方式的安全性有待提高
样品锁的开锁方式一般包括指纹开锁、密码开锁和识别卡开锁三种。密码和指纹识别开锁相比信息识别卡开锁可靠,通过测试,29款样品中,48.3%的样品密码开启安全存在风险,50%的样品指纹识别开启安全存在风险,85.7%的样品信息识别卡开启安存在风险。
此前阿里巴巴联合众多IoT合作伙伴计划联盟成员发布了《2017中国智能锁应用与发展白皮书》。该“白皮书”从中国智能锁的发展概况、市场分析、行业问题、行业标准、技术创新等多个维度,对中国智能锁行业进行了深度解读,对行业、技术、产品以及各智能锁上下游企业都具有重要的指导意义。
目前智能锁市场及行业虽然非常火热,但大多数用户还不买账。之所导致这种现状的,其原因主要有这几点:一、用户对智能锁的认知度不够;二、用户对智能锁的稳定性、安全性及品质仍持怀疑态度;三、相对于机械锁,智能锁的价格过高。
其实,用户的担心和顾虑并不是没有道理,反观目前智能锁行业的现状,行业中部分中小厂家在安全保障、研发管理、质量管理、供应商管理等方面缺乏经验与管控能力,依靠低质低价冲击市场,这对智能锁行业的发展及应用的普及带来巨大的影响。
智能锁安全性问题仍需解决
《2017中国智能锁应用与发展白皮书》指出,智能锁安全性问题急需解决。
智能锁的安全性主要表现在联网的安全性及生物识别认证的安全性两个方面。首先来看看联网的安全性,众所周知只要有网络的地方,就会存在安全隐患。
而目前智能锁联网已是大势所趋,所以智能锁联网的安全性不容忽视。但是目前所有联网的智能产品的安全都是相对的,虽然目前大多数智能锁企业的产品从新品到程序设计,再到网络传输及密码授权等都进行了严格的加密,仍防不住黑客的攻击。但是黑客的攻击一般都是目的性和针对性的,不会付出巨大的成本去破解一把民用锁具。而对一般的小偷来说,他们不具备攻击网络的能力,所以这方面的安全性对于企业来说是必须重视的,但对于普通用户来说也不必因网络上的各种破解传言而恐慌。
在生物识别认证安全性方面,白皮书指出:由于指纹存在着一定程度上的可复制性,因此在安全性能上存在着一定的瑕疵,特别是不同的皮肤情况,湿度情况,指纹识别的认证效果也存在着很大不同,拒真率、认假率方面在保证安全上仍然有着较大的提升空间。
目前开始流行的人脸识别认证,由于其算法和功耗、场景应用等方面,也无法做到100%的识别准确率,提升的空间较大;在认证的速率方面,指纹识别、指静脉识别由于在技术上的成熟性,速率较快,人脸认证速率仍然需要提升。
智能锁还存在其他方面的安全隐患
首先是智能锁密码键盘组件的安全风险。目前大多智能锁均无键盘无遮挡,密码存在被偷看风险;智能锁在键盘表面安装overlay,存在获取密码风险;此外,智能锁上不同按键声音可能不同,存在泄露密码的风险;更值得一提的是,很多智能锁缺少主动探测的防拆机制,存在安装物理攻击设备窃取密码的风险。
其次,IC卡组件的安全风险。ID卡等只判断卡片ID号,很容易通过卡片复制,实现开锁。而mifare 1等类似的逻辑卡,可以从市面购买读卡器,实现复制卡片;再次是CPU卡,如果IC卡没有安全级别认证,可通过攻击手段实现卡片复制。