前不久,一条关于智能门锁安全风险的消息,让许多家有智能门锁的消费者心惊肉跳--不少智能门锁被网购得来的小黑盒(特斯拉线圈)打开;指纹识别区受到灰尘、胶带的干扰后,谁的指纹都能开锁;用户主的照片就能通过人脸识别的考验……看上去非常高科技的门锁,竟然如此不堪一击?
那么高科技的智能锁存在哪些技术缺陷与安全风险隐患呢,消费者应如何正确地认识这些不足的地方,正确看待智能锁呢?
国家市场监督管理总局在最近针对智能锁的风险监测中发现,部分产品存在不同程度的安全风险,主要体现在以下四个方面:智能锁受"小黑盒"攻击开锁;生物识别方面的安全风险;感应卡方面的安全风险;远程控制的安全风险。
一、智能锁受"小黑盒"攻击开锁
国家市场监督管理总局在风险监测中,从实体店及网络电商平台采集了38个品牌,40款型号的智能锁产品。检测结果显示,40个样品中有6个批次被特斯拉线圈打开,占比为15%。对此国家通用电子元器件质量监督检验中心专家表示,从技术角度来讲,防特斯拉线圈干扰是可以解决的,只是成本有所提高而已,且目前市场上主流厂家已经解决了这一问题。
"小黑盒"开启智能锁原理并不复杂,它实际上是由电路设计缺陷导致,不当的控制线路设计和不合理的线缆布局,被"特斯拉"线圈干扰后,绕开了电路逻辑直接开锁,不具有普遍性。这个问题被曝光之后,不少智能门锁生产企业都做了技术层面的改进提升,已经能够比较好地解决这个问题。
二、生物识别方面的安全风险
目前市面上的智能锁,大部分都具备指纹开锁等生物识别功能,报道监测的40批次智能锁中,有10批次在指纹识别区受到头发丝、金属丝、胶带等异物干扰,或者出现裂纹时任何指纹均可开锁。这类情况是因为在没有鉴别非指纹图像和指纹图像的情况下,有的智能锁把异物和裂纹所干扰形成的图像存在了模板当中,这就会导致下一次再使用时,可能会匹配裂纹或非指纹图像作为鉴别信息,从而打开智能锁。
1.指纹解锁风险较低
首先要说明一点,门锁上的指纹识别和手机等智能设备上的指纹识别不同,不带自学习功能。后者使用自学习功能的指纹识别技术为的是给消费者提供较好的使用体验,但门锁上的指纹识别则强调的是准确和安全。
2.人脸识别存在风险,但不需要恐慌
智能门锁的人脸识别功能是否精准主要看两点:一是门锁中的摄像头,高档的智能门锁中可能有两个甚至两个以上的摄像头,成像是立体的,而一个摄像头的成像则是二维的;另一个就是算法,所谓算法也就是智能门锁对人像识别的精确度,比如,精确的算法对人像的眼窝深度、鼻梁高度等都有精准的考量,反之则不然。打印在A4纸上的人像照片是二维的,通过它只能开启二维成像的锁,且需要专业人员对照片进行一些技术处理,使其看起来近乎真人脸。当然,这也从一个侧面说明,智能门锁还是要选择相对高档的。另外,用"技术含量"那么高的方法开锁对于不法分子来说成本太高了,消费者也没有必要恐慌。
三、感应卡方面的安全风险
国家市场监督管理总局30批次的智能锁有感应卡开锁功能,监测发现有28批次存在风险,占比为94%左右。专家表示这28批次中都有一个典型的特点,就是均支持用户录入自己的公交卡,或者饭卡、工牌等作为开锁工具,这就代表这些门锁使用了感应卡未加密区块。而未加密区块是可以通过手机或者简易读卡器读取到相关信息。攻击者完全可以利用这些手段读取用户卡片上的信息,从而复制一张可以开门的卡片。
四、远程控制的安全风险
远距离控制门锁:存信息安全问题。智能门锁的APP,不仅能远距离控制门锁状态,获取用户手机信息,甚至可以反向进入厂商服务器,获取大量使用该品牌智能门锁用户的手机信息。
远程控制的安全性是企业必须考虑的安全问题。在国家市场监督管理总局监测的40批次中,有10批次产品支持移动应用(APP)远程控制、远程开锁及查看记录的功能,而这其中有8批次存在信息安全问题。多数品牌智能锁采用APP授权或者发送临时密码进行远程开锁,密码或指令在产生、传递过程中如果没有严密的防护机制就容易产生泄漏,带来风险。