《智能门锁安全风险分析》由会员分享,可在线阅读,更多相关《智能门锁安全风险分析(7页珍藏版)》请在金锄头文库上搜索。
1、智能门锁安全风险分析A.1 安全风险概述根据智能门锁的组网体系架构,其安全风险可以划分为以下五个方面:智能门锁安全风 险(针对智能门锁设备的攻击)、移动应用安全风险(针对智能门锁手机 APP 的攻击)、近 场通信安全风险(针对Wi-Fi、ZigBee、蓝牙、433和315等通信方式的攻击)、网络安全风险 (针对家庭智能网关和有线数据拦截的攻击)和应用安全风险(针对智能门锁云平台的攻击) 具体如图 2 所示:智能门或锁儒图 2 智能门锁安全风险模型A.2 安全风险分析A.2.1 智能门锁锁体安全风险A.2.1.1 控制单元及安全模块安全风险控制单元及安全模块主要面临物理探测攻击、环境压力攻击、固
2、件攻击、调试接口攻击、 拒绝服务、 Abuse 攻击、随机数预测、芯片模块通信中间人攻击、强电磁场攻击、安全启动 等安全风险。a)物理探测攻击风险智能门锁在工作时,应用数据会在各个模块之间传输,传输通过各个功能模块间的金属 连线实现, 攻击者对这些金属连线进行探测、监听,尝试在用户的会话期间或从先前的已 经通过身份验证的用户中 利用未受保护的残留安全相关数据(如生物识别数据和设置),以 揭示/重建密钥等敏感数据。甚至可以对金属连线上传输的数据进行干扰、修改,对智能门 锁的电路结构进行物理篡改、操纵(包含故障分析和 IC 逆向工程),以改变其安全功能(硬件 和软件部分),甚至导致其安全功能模块失
3、效,进而泄漏敏感信息。b) 环境压力攻击风险 智能门锁在外界环境条件发生变化时,比如采用低温攻击、非正常工作电源电压、时钟 频率变更使门锁 产生误动作或功能丧失。c) 固件安全风险 设备固件代码恶意篡改攻击威胁,典型方式如植入木马、后门、二次打包应用程序。该 风险多发生 在固件升级的过程中,攻击者可通过获得固件、解压、分析并进行篡改,最终 远程烧录到设备上。攻击 者通过在固件中植入恶意代码,可以达到获取用户敏感信息和控 制设备的目的,从而实现持续性影响, 甚至可以毁坏设备的正常使用。未对FLASH芯片读写进行保护,攻击者可使用FLASH芯片相应的编程器获取二进制数 据;固件提取也是攻击者进行软
4、件漏洞攻击的基础,良好的固件保护可以缩小攻击面,而针 对固件的提取过程可借助错误注入手段实施攻击(电磁、电压)。d) 调试接口安全风险 攻击者有可能利用控制单元的调试接口,使设备重新进入测试模式,从而获取设备内部 关键信息。 攻击者有可能使用伪造的身份,获取设备调试接口的控制权,对内部资源进行 访问。攻击者也可以使用 调试接口刷入改动后的固件,在门锁中植入后门。e) 拒绝服务攻击风险 攻击者可能通过远程或者本地攻击的方式,使得识别与控制模块对合法授权的用户不能正确识别,导致模块不能正常运行。f) Abuse 攻击风险 攻击者可能会通过向认证者发送带有无效参数或无效命令的指令来滥用认证者功能。通
5、过智 能门锁的响应来推断智能门锁的敏感信息。g) 随机数预测风险 攻击者可能通过预测随机数的生成,或者通过改变芯片随机数模块的工作条件(如工作电压、温度 等)来影响生成的随机数质量,甚至通过调试接口获取内部产生的随机数。h) 芯片模块通信中间人攻击风险 芯片模块之间的通信存在中间人攻击风险,攻击者可以试图截取和重放,模仿授权用户的通信过程,从而通过身份认证。i) 强电磁场攻击 攻击者通过外部的强电磁场发射工具,向门锁发出强电磁波干扰(俗称小黑盒攻击),电磁波在门锁内部耦合产生电压,可能触发门锁的误动作,包括但不仅限于触发开锁信号,驱 动电机,触发MCU或识别芯片重启等造成误开锁。j) 安全启动
6、风险 智能门锁开机或唤醒时未采用启动认证,攻击者可预置加载非授权的攻击代码,绕过操作系统认证 鉴权的攻击等。A.2.1.2 生物识别模块安全风险生物识别模块主要面临伪造登陆及异物混淆识别、敏感信息修改、指纹信息错误接受、 指纹识别模块呈现、指纹识别模块算法运行环境比对结果被篡改、指纹物理残留被非法采集 等安全风险。a) 伪造登录及异物混淆识别风险 攻击者可能试图修改截取或重放通信,模仿或生成授权用户的生物特征以伪装成合法用 户并登录 智能门锁。例如攻击者通过简易指纹膜(导电性或非导电性)对无人值守门锁外露 指纹模块进行表面贴 敷,以覆盖少部分指纹传感器,后续如合法用户使用过程中并未发现 该指纹
7、膜可能利用算法漏洞实现伪 造登录风险,即绕过授权指纹直接开锁。原理为传感器 区域表面发生破损或者表面存在异物(如指纹膜 等)的情况下,传感器在采集信息时容易采 集到夹杂异物特征的信息。在合法用户继续用户使用一段时间后,异物信息有机会伴随正常 的用户信息学习进识别模板,异物信息积累到一定程度时会替换掉正常的用 户信息,使得 识别模块无法正确识别出用户的特征,客户模板被恶意替换。被异物信息替换后的识别模 块, 由于异物仍旧残留,非正常用户识别时就会出现认假的情况,从而实现识别模块的破解。此外,2D人脸技术也存在伪造漏洞,人脸属于弱隐私信息,很容易获取,在打印照片 后以特定角度攻击即可实现开锁,或采
8、用相关图像合成软件也可以实现对于所谓活体人脸 2D 检测的欺骗。b)敏感信息修改风险 攻击者可能会尝试修改辅助资产,例如生物特征参考或其他与安全相关的系统配置数据典型攻击 包括尝试修改生物特征识别系统用于验证用户的阈值级别,或尝试修改授权用户 的生物认证数据(生物 特征参考记录)。c)指纹信息错误接受风险 由于指纹识别模块的设计缺陷(如指纹传感器的面积、指纹识别算法性能、以及比对判断阈值等方 面设计缺陷),本应该拒绝的指纹错误地判断为可以接受,从而使未经过录入的 手指可以通过正常的指 纹识别流程开启智能门锁。d)指纹识别模块呈现攻击风险 不改变指纹识别模块的内部流程,仅通过对指纹传感器输入某些
9、特定图像,使指纹识别模块执行正 常的识别流程、但却做出错误的比对判断结果,从而造成非法用户开启智能门 锁。e)指纹识别模块算法运行环境比对结果被篡改风险 指纹识别模块需将已录入的指纹图像转换为模板、并存储在非易失性存储器中 (例如 Flash 存储器 等),在指纹录入、比对过程中,软件环境的漏洞可能导致相关指纹敏感信息 泄露。针对指纹识别模块中指纹敏感信息的攻击,存在本地和远程两种攻击方式,其中本地攻 击,可采用 侵入式、半侵入式针对硬件模块或芯片进行攻击;远程攻击,由于智能门锁具 备网络通信功能,攻击者可以利用网络协议漏洞远程获取指纹敏感信息, 篡改指纹识别算 法输出的比对结果,从而使指纹识
10、别功能失效。智能门锁的前面板如果机械强度不够高,有可能被破拆、钻洞、进而搭线,指纹比对结 果传输至主 控芯片的链路有可能被实施中间人攻击,即在传输过程中被篡改。f)指纹物理残留存在被非法采集风险 智能门锁合法用户的指纹残留存在被非法采集的风险,而被采集的指纹残留可被用于制 作假指纹进而非法开启智能门锁。针对残留指纹信息制作假指纹的种类可以分为以下几种: 2D打印假指纹 2D导电硅胶假指纹 3D 导电硅胶假指纹攻击者可以通过一系列的手段采集到识别器上残留的指纹信息,并且通过这些信息恢复 用户的指纹,从而实现攻击破解。A.2.1.3 密码键盘安全风险密码键盘主要面临密码偷窥、Overlay攻击、按
11、键音分析、暴力攻击、密码硬件木马植 入、密码云端存储及传输等安全风险。a) 密码偷窥智能门锁上的无遮挡密码键盘在输入密码时,周围环境被安装微型摄像头进行偷窥的风 险。b) Overlay 攻击 攻击者可在密码键盘上覆盖一层薄膜,以获取用户的开锁密码。c) 按键音分析 不同按键声音可能不同,存在被窃听泄露密码的风险。d) 暴力攻击 攻击者可能尝试使用暴力攻击的方法对智能门锁的密码、指纹、钥匙等进行攻击。攻击 者通过大量 的非法尝试,暴力破解智能门锁的身份验证。密码校验算法应该拥有完备的逻 辑,当输入过长的密码, 校验算法可以做正确的处理,不会触发崩溃,而使得程序出现异 常。e) 密码硬件木马植入
12、 缺少主动探测的防拆机制,未采用工业设计手段保护硬件安全,存在安装物理木马设备 窃取密码的 风险。f) 密码云端存储及传输 将用户密码敏感信息存储在云端可能带来更大的信息安全隐患,如网络攻击或传输过程 中被截取 等,因而对密码的存储与传输均有极高安全要求以抵抗黑客攻击。A.2.1.4 门禁卡及读卡器安全风险部分拥有 NFC 功能的智能手机为方便用户推出门禁卡或门卡复制功能,该功能降低了 对于低成本非 CPU 卡的复制门槛和技术成本。a) 低频卡复制低频卡内部因只保存一串唯一的序号,通过读写器读取序号写入空白ID卡即可完成非法 复制。b) 高频卡复制当读卡器仅识别高频卡的UID作为身份识别信息时
13、,非法用户可通过复制UID完成对门 禁卡的复制;使用UID及密钥认证扇区作为身份识别信息时,当高频卡存在以下问题时可被 复制:采用了默认密码 密钥长度小于48bits造成破解时间较短 采用了可被预测的伪随机算法生成密钥c) 门禁卡信息推导门禁卡关键验证数据应该充分熵化,避免通过门锁型号,批号,出厂时间等外部信息推 断出关键验 证数据,也应避免通过同型号,不同智能门锁关键验证数据可以推断出其他智 能门锁关键验证数据的情况。d) 门禁卡暴力攻击门禁卡鉴别应设置尝试次数,防止遍历ID等暴力破解攻击。A.2.1.5 整锁物理破坏攻击智能门锁面板应有良好的物理防护性,防护性包括但不仅限于机械破坏防护,温
14、度破坏 防护。应保持面板的完整性和隔离性。智能门锁关键线路设备应该有充分机械强度防护和逻辑防护,避免面板破坏之后可以直 接操控面 板,导致开门。智能门锁应该拥有防拆设计,非授权拆毁应该触发警报,防拆器应该在检测到门被拆毁 以及防拆器 本身被拆毁时发出警报,该警报应该被非断电易失存储器件保存,该警报的消 除应该使用等同开门的身 份验证。A.2.2 通信协议攻击安全风险A.2.2.1 蓝牙通信安全风险蓝牙通信主要面临配对连接、鉴权认证、链路通信等安全风险。a) 配对连接 由于认证器与智能门锁进行配对时,可能采用不同的蓝牙配对机制,当其中一方的蓝牙 配对协议安 全性较差或因为用户选用了简单的或不安全
15、的蓝牙配对方式(如 PIN 码和 Just works 方式),配对过程 容易被分析或破解。b) 鉴权认证 不同版本蓝牙协议,鉴权认证方式不一样,有的鉴权认证方式比较简单,容易被第三方 截获或者破 获;相同蓝牙协议存在不同的鉴权认证机制,这些鉴权机制的安全性不一,也 容易造成安全隐患;c) 链路通讯 由于蓝牙通讯是无线通讯,因此通讯的数据是可以被侦听、伪造或干扰的,因此链路通 讯风险体现 在几方面: 同频干扰(虽然有跳频机制,但是跳频机制是在连接时就可以获取的),造成通讯成 功率降低或瘫痪; 因不启动链路层加密,数据直接明文传输,这样数据可以被直接截获,或者数据被 第三方伪造,插入攻击者的数据
16、; 链路数据加密的方式不一致,因此使得数据加密的安全性不一样,也造成数据攻击 的漏洞,被攻击者截获数据; 蓝牙芯片的加密算法运行不像密码芯片一样做了特殊处理,因此攻击者可以通过功 耗分析等手段窃取加密密钥,破解加密的通讯数据; 没有对关键传输信息进行签名,每次使用相同的密钥、相同的加密方式、发送相同 的信息,无法抵御重放攻击。A.2.2.2 Zigbee 通信安全风险Zigbee 通信面临鉴权认证、链路通信等安全风险。a) 鉴权认证在 ZHA1.2 及之前的版本中, Zigbee 有一个统一的 KEY 来保证不同厂家的设备能加入到 同一个网络。在设备入网时,使用这个KEY来加密Network Key,在这
