近日，來自德國埃爾朗根-紐倫堡大學的一份研究論文《您所有的燈泡屬于我們：智能照明系統(tǒng)當前安全狀態(tài)調查》再次將智能照明系統(tǒng)的安全問題推上風口浪尖。該論文顯示，智能照明通信標準之一的ZigBee-Light-Link(以下簡稱ZLL，它是ZigBee聯(lián)盟針對照明行業(yè)開發(fā)的一種低功耗網(wǎng)狀網(wǎng)無線通信技術)存在安全缺陷，該協(xié)議一旦被攻破就會導致整個照明系統(tǒng)被接管，你的智能燈泡也就不再是你的智能燈泡。
為了調查照明系統(tǒng)的安全狀態(tài)，埃爾朗根-紐倫堡大學的三名專業(yè)人士以飛利浦的Hue、歐司朗的Lightify以及通用電氣的GE-Link為對象進行了深入研究。但是結果表明，協(xié)議本身設計存在安全缺陷，并且攻擊距離也不是問題，最受歡迎的Hue距36米處也能被攻破。另外，論文還詳細交代了攻破ZLL協(xié)議的兩類方法——在無需密鑰信息支持情況下利用所謂的跨框架(inter-pan)中安全漏洞概念和通過獲取主密鑰信息實現(xiàn)對ZLL設備的控制。
對于此報道，飛利浦立即作出相關回應，澄清這是與公司合作的研究單位所提出的可能性，并非發(fā)生中的事實，并且飛利浦的Hue系列產(chǎn)品也從未被病毒感染。研究人員在2016年年中聯(lián)絡飛利浦團隊，提出潛在的弱點，在這些相關發(fā)現(xiàn)對大眾揭露之前已完成補強。有關發(fā)展出能夠入侵Hue產(chǎn)品病毒以及用來入侵之情事皆與事實不符。另外，研究團隊的發(fā)現(xiàn)幫助飛利浦研發(fā)并更新軟體。
針對這一問題，ZigBee聯(lián)盟也在14日發(fā)表了正式聲明。ZigBee聯(lián)盟回應飛利浦Hue Bulb不存在安全問題，并且ZigBee各項標準均不存在報告所描述的缺陷。該報告中提到的缺陷是某家芯片廠商應用程序中的軟件錯誤導致，不是ZigBee協(xié)議的問題，而更多是實現(xiàn)的問題。就像許多技術平臺一樣，比如智能手機和日常計算設備，為了保證設備和系統(tǒng)的安全性，我們應該使用最新的軟件版本并注意及時升級。所述攻擊利用了這個軟件升級的內部接口缺陷，并不適用于整個系統(tǒng)或產(chǎn)品線。
另外，ZigBee聯(lián)盟還表示該報告場景中所指的這款智能燈泡的問題已經(jīng)得到解決，并發(fā)送給所有使用該芯片協(xié)議棧的客戶。飛利浦Hue在其部分產(chǎn)品線中使用來自這家協(xié)議棧供貨商的軟件組件，且已經(jīng)完成了補丁程序，并將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標準本身并無需要更改的地方。
在去年8月的2015黑帽大會，就有安全人員指出，ZigBee技術的實施方法中存在一個嚴重缺陷。其實是由于制造商為了生產(chǎn)出方便易用、可與其它聯(lián)網(wǎng)設備無縫協(xié)作的設備，同時又要最大化地壓低設備成本，而不顧及在安全層面上采用必要的安全性考量，從而造成ZigBee網(wǎng)絡存在安全風險。
雖然ZigBee聯(lián)盟給這兩次智能照明系統(tǒng)安全問題一個完美的“解釋”，但這耶無疑再次敲響了整個物聯(lián)網(wǎng)安全問題的警鐘。此前，這一類智能照明系統(tǒng)的安全曾多次被質疑。
LIFX LED燈泡存安全風險
2014年7月，英國資安研究公司Context Information Security發(fā)布聲明警告所有物聯(lián)網(wǎng)相關公司，由LIFX公司所生產(chǎn)，支持無線連網(wǎng)的LED燈泡存在著安全風險。
這些由新創(chuàng)科技公司LIFX生產(chǎn)的LED燈泡，采用802.15.46LoWPAN網(wǎng)絡，只要監(jiān)聽網(wǎng)絡封包，即可透過這些燈泡發(fā)現(xiàn)加密的網(wǎng)絡設定訊息。基本上，要了解所使用的加密方式，Context公司必須將兩個微控系統(tǒng)單元(TI及 STM，均為Cortex-M3)與JTAG測試用連接埠連線，一但連結上之后，就可以讀取加密演算法、金鑰和無線網(wǎng)狀網(wǎng)絡協(xié)定。這些資料將讓公司或企業(yè)可以置入網(wǎng)絡封包，而這些動作將不會被偵測到。
Context隨后和LIFX合作發(fā)布了韌體更新，已修補這個漏洞，現(xiàn)在所有6LoWPAN網(wǎng)絡都需要使用從Wi-Fi認證機構導入的加密金鑰，而LIFX新生產(chǎn)的燈泡也已都加入此安全機制。
安全措施必須從一開始，就被建立在所有物聯(lián)網(wǎng)設備里，雖然目前看起來有許多物聯(lián)網(wǎng)公司都存在這樣的問題，但當安全問題被發(fā)現(xiàn)時，就能在使用者受害前提早修補。
“黑客”快速破解智能設備
2014年的“黑帽大會”上，一個演示團隊在45分鐘之內成功破解了22個設備，令眾人惶恐智能系統(tǒng)的缺陷性。
歐司朗智能燈泡被發(fā)現(xiàn)存在重大安全漏洞
2016年7月，安全專家發(fā)現(xiàn)了歐司朗智能燈泡所存在的一個安全漏洞。Rapid7的首席安全顧問Deral Heiland表示，如果該漏洞被黑客所利用，那他們就能訪問用戶的家庭或企業(yè)網(wǎng)絡。最壞的情況是，這將讓它們控制產(chǎn)品發(fā)動針對瀏覽器的攻擊。此外，黑客還能在數(shù)分鐘之內破解用戶的Wi-Fi密碼，如果該密碼同時被使用在了其他的網(wǎng)站和服務當中(幾率很高)，那這也就帶來了額外的風險。
不過Heiland提到，歐司朗目前已經(jīng)知曉該漏洞的存在，并將在下一輪的安全升級當中對包括它在內的幾個重大安全漏洞進行修復。
結語：
目前物聯(lián)技術還處于初級發(fā)展階段，并沒有建立起一套完善的安全標準，同時由于網(wǎng)絡天然的缺陷性，容易受到黑客攻擊，因此集成大數(shù)據(jù)的智慧系統(tǒng)、智能云平臺等的安全問題成為各界關注的焦點，也是智能照明往前發(fā)展的一大絆腳石。智能系統(tǒng)的安全標準需要被認真看待，也需要照明企業(yè)、智能方案服務商、云平臺等相關企業(yè)之間的通力合作。