指纹锁安全风险提示,选购时要注意这些!

文章来源:https://www.debaodun.com 发布时间:2018-12-05 浏览次数:102

指纹锁安全风险提示,选购时要注意这些:

1、 RFID门锁攻击

(1)原理分析

RFID卡中存储代表持卡人身份信息的字符串,而一般的RFID卡中的信息以明文形式存储,或者仅经过简单处理后存储,攻击者可以读取其中的信息,并复制到其卡片中,从而获取持卡人的授权。

(2)案例分析

某品牌智能门锁为RFID门锁,测试人员从淘宝上购买简单的RFID读写器,即可从已有的RFID卡中读取信息,并写入到新的RFID卡中,并通过新的RFID正常打开门锁。

该类RFID卡常常以小区门禁、楼宇门禁和酒店房卡等形式出现,造成的影响面极大。


读取门禁卡.

图1读取门禁卡信息


2、315Mhz无线电门锁攻击

(1)原理分析

无线电门锁响应指定的无线电信号,而一般的无线电门锁的信号是固定的,攻击者可以重放无线电信号或对信号进行简单处理,从而伪造真实用户开关门锁的行为。

(2)案例分析

某品牌智能门锁存在无线电信号重放攻击漏洞(漏洞编号CNVD-2018-02695)。该门锁为无线电门锁,测试人员从淘宝上购买简单的无线电收发器,即可抓取无线电门锁开关门信号,并存储此无线电数据包到本地,通过重放包含开锁信号的无线电数据包即可打开门锁。

该类无线电门锁常常以车库门禁、家庭门禁和汽车门等形式出现,这种攻击行为可形成巨大安全隐患。


指纹锁安全风险提示,选购时要注意这些.

图2利用无线电工具重放信号开锁


3、网络通信安全风险

(1)原理分析

有的智能门锁直接通过WIFI信号连接到互联网,而其它通信方式的门锁连接到相应的网关后,也会通过WIFI信号连接到互联网,与此同时,手机APP在家时,也会通过WIFI连接到智能门锁和云端服务器。考虑到大量的智能门锁通信协议采用明文传输,或者加密传输过程中存在漏洞,通过攻击WIFI路由器、智能家居网关,或者截持WIFI信号,可以实现对智能门锁的控制。

(2)案例分析

某品牌智能门锁存在设计漏洞(漏洞编号CNVD-2016-12586)。测试人员通过WIFI信号抓取,分析出APP与智能门锁云端服务之间的通信是明文传输,并识别出智能门锁开门和关门的特定数据包。

测试人员在劫持WIFI信号后,即可通过WIFI信号重放攻击的方式,实现对门锁的控制。



指纹锁安全风险提示,选购时要注意这些.

图3WIFI信号劫持实现开关门操作


5、云平台服务安全风险

(1)用户身份鉴别漏洞

未限制密码复杂度,未限制非法登陆次数,重置密码的短信验证码又本地产生或者存在于返回数据包中。

(2)访问控制漏洞

后端信息系统没有对数据包中重要访问控制参数进行校验,导致越权操作。还有存在远程代码执行漏洞,可以进行root权限命令执行。重要回话信息被劫持。

(3)云管理平台系统存在web安全问题

常见的web安全漏洞同样存在于智能门锁云管理平台,例如,SQL注入、任意文件上传、失效的身份验证和回话管理、跨站脚本攻击、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已经存在漏洞的组件和未验证的重定向和转发等漏洞。

6、风险防范和安全建议 

根据智能门锁风险模型,智能门锁面临的安全风险包括智能门锁安全风险、移动应用安全风险、近场通信安全风险、网络安全风险和应用安全风险等五个方面的风险。

智能门锁的安全问题一旦被黑客关注并利用,将会给用户带来非常直接的经济和财产损失,并给社会造成极为严重的负面影响。接下来将从用户、厂商和行业三个角度,分别给出一些针对性的改进意见和措施。

(1)门锁用户

对于个人用户来说,首先尽量选用知名品牌厂商生产、性价比适合自身的智能门锁产品。其次如果家庭选择安装了智能家庭网关设备,应尽量选择具有安全功能的设备,如近场通信安全监控和流量安全监控等相关安全功能,对常见的攻击行为进行监控即可有效提高家庭安全。

(2)门锁厂商

  • 确实提高移动应用的安全质量

智能门锁厂商通过在移动应用设计过程中引入安全设计,在移动应用测试过程中增加安全测试,并通过安全加固等手段加强移动应用的抗分析能力,可以较好地提高移动应用的安全质量。

  • 加强智能门锁安全设计把关

智能门锁厂商在设计的过程中,通过提高电磁屏蔽、关闭调试接口和调试功能、加固固件、增加指纹活性检测、实施RFID加密、禁止简单密码、动态快速升级固件等多种安全措施,可以确实提高智能门锁的抗攻击能力。

  • 提高网络安全防护水平

智能门锁体系中智能门锁、移动应用和云端服务三者之间,都应该采用规范的加密传输方式进行通信,优先选择采用国家密码管理部门批准使用的密码算法和密码算法使用规范,以确保网络通信的安全。

  • 持续保障云端服务安全

在提高应用层安全风险方面,应该在云端服务设计过程中引入安全设计,在产品测试过程中引入安全测试,在服务上线后,进行持续的渗透测试和风险评估,选择具有安全防护实力的云服务平台,并部署相关的云端安全防护产品或服务,对云端实施从物理层、虚拟化层、主机层、网络层、数据层到应用层的全体系、全方位、全时段的安全监控与运维,形成完备的安全防护措施,确保云端服务的高度安全。

(3)行业监管和指导

对于智能门锁整体行业,相关行业部门应该组织制定一套完善的安全实施标准,覆盖智能门锁体系从规划、设计、开发、测试、部署、上线到运营的全部过程,强化整个行业的安全意识,确实提高整个行业整体的产品安全水平。同时组织制定配套的智能门锁网络安全产品检测规范,联网智能门锁产品上市前应进行网络安全相关检测和认证。

德堡盾指纹密码锁,作为行业内知名厂家,从源头把控智能锁的质量,品质稳定,功能领先,性价比高,为指纹锁行业少有的优质供应商。德保盾用稳定的品质、领先的开发能力和完善的售后体系,竭诚为广大客户提供服务,我们只专心专业十年如一日的做好指纹锁一件事,我们期待与您的有缘相约。咨询热线:13301516536。

 


联系我们

  • 联系人:陈总
  • 销售热线:13301516536
  • 销售QQ1:34470388
  • 销售QQ2:2923255815
  • 微信号:13301516536
  • 售后客服:0510-81175110
  • 邮箱:34470388@qq.com
  • 地址:江苏省无锡市滨湖区太湖西大道1188号润华国际大厦2204
cache
Processed in 0.004008 Second.