智能门锁网络安全分析报告

发布时间 2018-11-14

目录
 引言
 1、智能门锁市场现状与发展趋势
 2、智能门锁技术发展现状
2.1 智能门锁组网技术


2.2 智能门锁开锁模式


2.2.1 固定密码开锁模式


2.2.2 临时密码开锁模式


2.2.3 生物钥匙开锁模式


2.2.4 智能卡钥匙开锁模式


2.2.5 手机APP开锁模式


 3、智能门锁安全风险与案例分析
3.1 安全风险模型


3.2 智能门锁安全风险


3.2.1 生物钥匙攻击


3.2.2 固定密码安全


3.2.3 固件窃取和逆向


3.2.4无线馈电攻击


3.3 移动应用安全风险


3.4 近场通信安全风险


3.4.1 RFID门锁攻击


3.4.2 315Mhz无线电门锁攻击


3.5 网络通信安全风险


3.6 云平台服务安全风险


 4、风险防范和安全建议
4.1 门锁用户


4.2 门锁厂商


4.3 行业监管和指导


国家互联网应急中心网络安全应急技术国家工程实验室
启明星辰积极防御实验室(ADLab)
北京同余科技有限公司
云丁网络技术(北京)有限公司


引言

2016年起,随着物联网、云计算、大数据等技术的不断成熟和广泛应用,加上资本的助推,智能家居异军突起,成为新兴产业势力。智能门锁作为智能家居产业中的代表性产品之一,发展潜力非常巨大,2017年智能门锁产值超过百亿元,市场规模接近800万把,预计2020年智能门锁市场规模将达到4000万把。 


智能门锁是一个典型的物联网系统,其整个系统由感知层、传输层和应用层组成,包括智能门锁设备、智能家庭网关、手机APP和云端服务等组件。其中传输层与应用层技术为现有互联网技术,相对成熟稳定。在感知层,用户身份认证方式主要有固定密码、临时密码、指纹、掌纹、人脸、RFID、NFC和APP等,近场接入技术主要有WIFI、蓝牙、Zigbee、433Mhz和 315MHz等。随着智能门锁的流行,各种安全隐患也不断被暴露出来,指纹复制、密码猜解、强磁干扰、APP漏洞、近场通信劫持、WIFI流量劫持和云端服务漏洞等各种智能门锁的安全事件已经被媒体广泛报道。


智能门锁的安全将会直接导致个人和家庭的生命财产安全,其重要性勿需多言。本报告重点关注智能门锁的网络安全问题,首先分析了智能门锁的发展趋势,梳理了智能门锁的各种开锁技术。接下来深入分析了智能门锁的各项联网技术,并根据智能门锁的组网体系架构提出了其安全风险模型,同时结合具体的智能门锁安全漏洞进行案例验证分析。最后从个人用户、厂商和行业主管等几个方面分别提出了几点智能门锁网络安全的建议,希望能给智能门锁行业提供一些参考。




1、智能门锁市场现状与发展趋势


智能门锁是指区别于传统机械锁的基础上改进的一类门锁,在用户安全性、识别性和管理性方面更加智能化和简便化的锁具。广义上说,具有指纹门锁、密码门锁、蓝牙门锁或者APP互联网门锁等任一功能的门锁均可称为智能门锁。


据《鲸准研究院-2018中国智能门锁行业深度研究报告》数据,2017年智能门锁销量约800万套,行业总产值超过100亿元,在2016年的基础上实现了翻倍增长,2018年有望继续翻倍。截至2018年6月底,我国4亿家庭智能门锁渗透率在5%左右,3000万套B端运营的租赁公寓渗透率在10%左右,未来发展空间巨大。


到2020年,我国智能门锁年销量将超过 4000万套,市场规模将超400亿元。2018、2019和2020三年将是智能门锁发展的黄金三年,到2022年,我国4亿家庭的智能门锁渗透率将达到35%,达到2018年欧美的水平,公寓端的渗透率将超过50%。


从技术发展趋势方面说,智能门锁的联网方式目前主要是WIFI和蓝牙,此外还有Zigbee、433MHz和 315MHz等,由于WIFI和NB-IoT优势非常明显,未来将会成为智能门锁的主流联网方式。




2、智能门锁技术发展现状


2.1 智能门锁组网技术

智能门锁的整体组网为典型的物联网三层结构,即感知层、传输层和应用层。其中感知层由智能门锁和智能手机APP组成,传输层包括家庭智能网关和移动通信基站等,应用层即为智能门锁云平台。下图列示了现在常见的智能门锁的联网方案,不同厂商不同型号的门锁往往选择其中一种或几种连接方式实现联网。



图2-1 典型的智能门锁组网技术


在感知层,由于受到功耗的限制,大部分智能门锁采用电池供电,其通信方式主要有蓝牙、ZigBee、NB-IoT、433MHz和315MHz等。也有部分门锁有条件采用交流电供电,该类门锁通常采用WIFI方式与云端进行通信。


在传输层,其通信方式主要有家用宽带(WIFI/以太网)和移动通信(3G/4G)。


应用层即智能门锁的云端服务,主要负责智能门锁的设备接入、身份认证、逻辑控制、数据分析和业务展示等。目前智能门锁云端服务主要部署在云上,如阿里云、AWS、Azure和腾讯云等,以及各厂商自己的私有云上。


2.2 智能门锁开锁模式


2.2.1 固定密码开锁模式


用户在安装固定密码智能门锁的时候,需要先进行门锁初始化,并完成密码设置,该密码存储在智能门锁的固态存储空间,同时也会上传到云端进行存储。


在用户开锁时,在门锁上输入密码,如果输入的密码与预先设置的密码一致,则可打开门锁。



图2-2 固定密码开锁模式


2.2.2 临时密码开锁模式


在临时密码开锁模式下,户主会通过手机APP从云端获取当前时段开锁的临时密码,并通过短信、微信或者手机APP等方式将临时密码发送给访客。


访客在门锁上输入接收到的临时密码后,门锁会将该密码与云端自动生成的当前时段临时密码进行对比,如果成功,则开锁。



图2-3 临时密码开锁模式


2.2.3 生物钥匙开锁模式


目前,市面上常用且稳定可靠的智能门锁开锁生物特征主要有指纹、掌纹、虹膜和人脸等。


该类门锁在安装的过程中,会将指纹、掌纹、虹膜和人脸等生物特征初始化到智能门锁固态存储或者云端。


用户开锁时,门锁需要采集用户的指纹、掌纹、虹膜和人脸特征,并传统到云端与初始化特征进行对比,如果对比成功,则开锁。



图2-4 生物钥匙开锁模式


2.2.4 智能卡钥匙开锁模式


用于智能门锁开锁的智能卡主要有RFID卡、NFC卡和CPU卡三类,该类门锁主要应用在酒店和公寓等场景。


使用RFID卡的门锁,门禁管理系统会在RFID卡中写入代表该卡身份的字符串,在开锁时,门锁提取RFID卡中的字符串,并传输到云端进行对比,对比成功,则开锁。


使用NFC卡和CPU卡的门锁,门禁管理系统会在NFC卡和CPU卡中写入代表该卡身份的私钥和公钥,在开锁时,该卡通过门锁与云端进行双向身份认证,如果认证成功,门锁接收到云端的开锁指令,打开门锁。



图2-5 智能门禁卡开锁模式


2.2.5 手机APP开锁模式


采用手机APP开锁的门锁,在初始化的过程中,云端会将门锁与指定手机上的APP进行绑定。


在用户开锁时,用户在手机APP上完成身份认证,然后在手机上点击开锁按钮,智能门锁就会接收到云端下发的开锁指令,然后打开门锁。



图2-6 手机APP开锁模式




3、智能门锁安全风险与案例分析


3.1 安全风险模型


根据智能门锁的组网体系架构,其安全风险可以划分为以下五个方面:智能门锁安全风险(针对智能门锁设备的攻击)、移动应用安全风险(针对智能门锁手机APP的攻击)、近场通信安全风险(针对WIFI、ZigBee、蓝牙、433和315等通信方式的攻击)、网络安全风险(针对家庭智能网关和有线数据拦截的攻击)和应用安全风险(针对智能门锁云平台的攻击)。



图3-1 智能门锁网络安全风险模型


3.2 智能门锁安全风险


3.2.1 生物钥匙攻击


智能门锁的常用生物钥匙中,虹膜和人脸的伪造难度较高,已知的攻击风险较小,但指纹和掌纹有较高的伪造风险,难度低,已经比较常见。



图3-2 指纹识别攻击

3.2.2 固定密码安全


在使用固定密码的智能门锁中,经常出现使用默认密码、后门密码、密码逻辑漏洞和短密码等问题,并存在密码泄漏等现象。



图3-3 固定密码攻击


3.2.3 固件窃取和逆向


攻击者拆开智能门锁后,通过专用工具从固件存储器中读取固件内容,然后逆向分析固件存在的漏洞,再结合其它攻击手段对漏洞进行利用。



图3-4固件读取


3.2.4 无线馈电攻击


(1)原理分析


无线馈电是一项应用广泛的技术,包括电磁炉、无线充电、非接触卡等。一些智能门锁由于设计缺陷,在布线及电路设计时没有考虑电磁干扰问题。攻击者可以利用特斯拉线圈通过无线电波干扰,使得智能门锁的内部电路产生直流馈电。


如果这种直流馈电足够高,将触发智能门锁小型电机驱动锁芯实现开锁。或者导致MCU的逻辑异常而重启,有的智能门锁默认重启后会自动开锁。



图3-5 开锁电路图


(2)案例分析


2018年5月26日,第九届中国(永康)国际门业博览会上,一位女士以一个小黑盒连续打开了多家品牌的智能门锁,最短的时间只有3秒,一篇名为《那个女人毁了整个指纹锁行业》的文章迅速蹿红,成为智能门锁圈的恶梦。


“小黑盒”的原理是特斯拉线圈通电后,可能产生两种效果:一是利用智能门锁电路的馈电系统驱动电流打开门锁;二是该线圈产生强电磁脉冲攻击智能门锁芯片,会造成芯片死机并重启,有的智能门锁默认重启后会自动开锁。



图3-6 “小黑盒”开锁图


3.3 移动应用安全风险


(1)原理分析


移动应用APP中存在各种常见的安全风险,如:移动端APP代码中或者固件中使用固定的加解密密钥;移动端APP代码没有采用加固和混淆技术使得代码被完整逆向,进而了解并破解开锁机制然后构造控制指令进行攻击;开发人员遗留的代码BUG问题,有可能导致绕过相关权限验证;移动端操作系统出现相关漏洞,导致被植入恶意代码进而控制手机实现攻击;移动端APP和设备之间的认证问题,如果移动端APP和设备之间的认证过程出现漏洞,这就容易导致中间人攻击,即伪造一个假移动端APP和真实设备进行通信达到欺骗目的进而实现攻击。


攻击者利用智能门锁对应的APP存在的这些漏洞或缺陷,绕过智能门锁、APP和云端服务预先设定的逻辑,实现非授权的开锁操作。


(2)案例分析


某品牌智能门锁存在密码重置漏洞(漏洞编号CNVD-2017-03908)。我们通过逆向智能门锁APP,分析其代码逻辑及智能门锁APP与云端网络交互的报文,掌握了相关云端接口的定义。发现该品牌锁的某个业务接口缺少用户合法性验证,攻击者可以利用已经掌握的用户信息,绕过合法性验证进行密码重置。攻击者利用重置后的密码完成登录后,可以进行开锁和修改用户信息等操作。在此研究基础上,我们又做了进一步的安全分析,发现了一个影响更大的安全问题:攻击者通过该漏洞可以获取该智能门锁产品的全部用户资料,包括手机号和开门密码。由于该漏洞不依赖手机验证码,这种攻击具有更大的隐蔽性,因此危害更大。



图3-7 移动应用安全案例


3.4 近场通信安全风险


3.4.1 RFID门锁攻击


(1)原理分析


RFID卡中存储代表持卡人身份信息的字符串,而一般的RFID卡中的信息以明文形式存储,或者仅经过简单处理后存储,攻击者可以读取其中的信息,并复制到其卡片中,从而获取持卡人的授权。


(2)案例分析


某品牌智能门锁为RFID门锁,测试人员从淘宝上购买简单的RFID读写器,即可从已有的RFID卡中读取信息,并写入到新的RFID卡中,并通过新的RFID正常打开门锁。


该类RFID卡常常以小区门禁、楼宇门禁和酒店房卡等形式出现,造成的影响面极大。



图3-8读取门禁卡信息


3.4.2 315Mhz无线电门锁攻击


(1)原理分析


无线电门锁响应指定的无线电信号,而一般的无线电门锁的信号是固定的,攻击者可以重放无线电信号或对信号进行简单处理,从而伪造真实用户开关门锁的行为。


(2)案例分析


某品牌智能门锁存在无线电信号重放攻击漏洞(漏洞编号CNVD-2018-02695)。该门锁为无线电门锁,测试人员从淘宝上购买简单的无线电收发器,即可抓取无线电门锁开关门信号,并存储此无线电数据包到本地,通过重放包含开锁信号的无线电数据包即可打开门锁。


该类无线电门锁常常以车库门禁、家庭门禁和汽车门等形式出现,这种攻击行为可形成巨大安全隐患。



图3-9 利用无线电工具重放信号开锁


3.5 网络通信安全风险


(1)原理分析


有的智能门锁直接通过WIFI信号连接到互联网,而其它通信方式的门锁连接到相应的网关后,也会通过WIFI信号连接到互联网,与此同时,手机APP在家时,也会通过WIFI连接到智能门锁和云端服务器。考虑到大量的智能门锁通信协议采用明文传输,或者加密传输过程中存在漏洞,通过攻击WIFI路由器、智能家居网关,或者截持WIFI信号,可以实现对智能门锁的控制。


(2)案例分析


某品牌智能门锁存在设计漏洞(漏洞编号CNVD-2016-12586)。测试人员通过WIFI信号抓取,分析出APP与智能门锁云端服务之间的通信是明文传输,并识别出智能门锁开门和关门的特定数据包。


测试人员在劫持WIFI信号后,即可通过WIFI信号重放攻击的方式,实现对门锁的控制。



图3-11 WIFI信号劫持实现开关门操作


3.6 云平台服务安全风险


(1)用户身份鉴别漏洞


未限制密码复杂度,未限制非法登陆次数,重置密码的短信验证码又本地产生或者存在于返回数据包中。


(2)访问控制漏洞


后端信息系统没有对数据包中重要访问控制参数进行校验,导致越权操作。还有存在远程代码执行漏洞,可以进行root权限命令执行。重要回话信息被劫持。


(3)云管理平台系统存在web安全问题


常见的web安全漏洞同样存在于智能门锁云管理平台,例如,SQL注入、任意文件上传、失效的身份验证和回话管理、跨站脚本攻击、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已经存在漏洞的组件和未验证的重定向和转发等漏洞。




4、风险防范和安全建议 


根据智能门锁风险模型,智能门锁面临的安全风险包括智能门锁安全风险、移动应用安全风险、近场通信安全风险、网络安全风险和应用安全风险等五个方面的风险。


智能门锁的安全问题一旦被黑客关注并利用,将会给用户带来非常直接的经济和财产损失,并给社会造成极为严重的负面影响。接下来将从用户、厂商和行业三个角度,分别给出一些针对性的改进意见和措施。


4.1 门锁用户


对于个人用户来说,首先尽量选用知名品牌厂商生产、性价比适合自身的智能门锁产品。其次如果家庭选择安装了智能家庭网关设备,应尽量选择具有安全功能的设备,如近场通信安全监控和流量安全监控等相关安全功能,对常见的攻击行为进行监控即可有效提高家庭安全。


4.2 门锁厂商


(1)确实提高移动应用的安全质量


智能门锁厂商通过在移动应用设计过程中引入安全设计,在移动应用测试过程中增加安全测试,并通过安全加固等手段加强移动应用的抗分析能力,可以较好地提高移动应用的安全质量。


(2)加强智能门锁安全设计把关


智能门锁厂商在设计的过程中,通过提高电磁屏蔽、关闭调试接口和调试功能、加固固件、增加指纹活性检测、实施RFID加密、禁止简单密码、动态快速升级固件等多种安全措施,可以确实提高智能门锁的抗攻击能力。


(3)提高网络安全防护水平


智能门锁体系中智能门锁、移动应用和云端服务三者之间,都应该采用规范的加密传输方式进行通信,优先选择采用国家密码管理部门批准使用的密码算法和密码算法使用规范,以确保网络通信的安全。


(4)持续保障云端服务安全


在提高应用层安全风险方面,应该在云端服务设计过程中引入安全设计,在产品测试过程中引入安全测试,在服务上线后,进行持续的渗透测试和风险评估,选择具有安全防护实力的云服务平台,并部署相关的云端安全防护产品或服务,对云端实施从物理层、虚拟化层、主机层、网络层、数据层到应用层的全体系、全方位、全时段的安全监控与运维,形成完备的安全防护措施,确保云端服务的高度安全。


4.3 行业监管和指导


对于智能门锁整体行业,相关行业部门应该组织制定一套完善的安全实施标准,覆盖智能门锁体系从规划、设计、开发、测试、部署、上线到运营的全部过程,强化整个行业的安全意识,确实提高整个行业整体的产品安全水平。同时组织制定配套的智能门锁网络安全产品检测规范,联网智能门锁产品上市前应进行网络安全相关检测和认证。


启明星辰积极防御实验室(ADLab)

ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞近1000个,通过 CNVD/CNNVD累计发布安全漏洞近500个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。