在上周舉行的 DEF CON 黑客大會爆出眾多漏洞,9 億 Android 手機出現問題已震驚全球,再有兩名來自 Merculite Security 的資訊安全研究人員 Anthony Rose 及 Ben Ramsey 在會議上表示,他們從 16 款藍牙智能鎖中,成功入侵 12 款,反映市面上基於低功耗藍牙(Bluetooth Low Energy,BLE)的智能鎖,大多數不安全。
低功耗藍牙的傳輸距離在 100 米內,並有省電特色,適合用於不必傳遞太多資訊的應用,智能鎖是其中之一。
他們購買了約 200 美元的設備,便能輕易入侵大多數 BLE 智能鎖,包括價值高達 100 美元的藍牙協議分析設備 Ubertooth One,以至低至 10 美元的 USB 藍牙收發器,甚至是 40 美元的 Raspberry Pi。至於無法攻破的 4 款產品包括:Noke Padlock、Masterlock Padlock、August Doorlock 及 Kwikset Kevo Doorlock,由於全部備有 AES 加密、隨機、雙重認證、無內建密碼,以及允許設立長密碼特色,相對較為安全。
Rose 表示,BLE 智能鎖容易被入侵在於有些可反編譯,有些則允許重放攻擊等。而相關漏洞並不存在於 BLE 協定中,是業界設計智能鎖的程式出現問題。
© 2020 Plug Media Services Limited. All Rights Reserved. [3]