智能锁行业安全分析报告 – 作者:TC111金牛座

锁具发展

2.png

智能锁市场发展前景

随着物联网各类技术的逐步进步,越来越多的智能设备出现在我们生活中,智能锁在锁具市场上所占的份额将会越来越大,甚至超过传统锁,成为主流。

2016年全球市场智能锁产业规模达到1100万套。其中日本达到150万套,韩国达到170万套,欧美市场达到250万套,中国达到350万套,其它等市场约200万套, 预计到2020年全球智能锁产业规模将达到5100万套 。

3.png

智能锁具产品分析

4.png

我国的智能锁大多数采用密码、指纹、手机等多种识别方式。其中,半导体指纹识别和光学指纹识别,是目前我国智能锁行业最主流的的指纹识别技术。

随着智能锁相关技术的日益成熟和发展,人脸识别、手机开锁、虹膜开锁、物联网技术等相继诞生,我国智能锁产品的功能和应用将更加丰富多元,也将进一步促进未来智能锁与智能家居的同步发展和高度融合。

智能锁市场消费因素分析

根据消费者的考虑因素以及智能门锁行业的发展趋势,安全、便捷和适用将会成为产品主流,行业将会出现以消费者主导的消费者品牌,而不是行业品牌,这就要求相关企业要足够洞悉消费者的心理。而最受消费者在意的安全性,将会得到进一步的强化,逐渐在真正意义上彰显智能门锁是人们隐私的保护神这一角色。

5.png

根据消费者购买智能门锁考虑因素的调查结果显示,86.8%的消费者重视智能门锁的安全性,其次消费者考虑最多的便是实用性和便捷性,再有就是质量。

智能锁具安全模型

6.png

木桶原理在智能锁安全中的新诠释

整体的安全性不仅由木桶最短的木板决定,更取决于木桶底部是否完好,如果底部存在漏洞,木板在高也是没有意义的,都是空谈,物理安全在智能锁具安全层面就相当于木桶的底部。根据物理安全思想建设锁具安全实验室,寻找锁具在声、光、电、磁、机械构造等各方面的安全隐患。

智能锁安全隐患分析

机械物理结构安全

7.png

识别与控制领域安全

目前智能锁生物识别的主要方式仍旧是指纹识别,指纹传感器集成在锁上,指静脉和人脸目前还不是主流方 式,指纹识别组件的安全风险主要如下:

8.png

用户指纹模板和数据存储在智能锁内的安全隐患

  • 指纹模板和数据的安全和被盗取隐患
  • 智能锁内如没有国家认证的安全芯片,指纹模板和数据有被盗取或替换的隐患
  • 假指纹的安全隐患,用户的部分或全被指纹信息被盗取克隆制作假指纹
  • 由于指纹传感器在智能锁上,假指纹通过指纹传感器尝试开锁
  • 3D高清图像和指纹算法可以部分解决假指纹问题

9.png

用户指纹模板和数据存储在云端的安全隐患

  • 指纹模板和数据的网络传输有攻击风险
  • 需要建立数据传输安全机制
  • 云端存储风险
  • 需要建立数据存储安全机制

通讯与服务领域安全

10.png

  • 智能门锁接入外部网络后,受到黑客攻击的风险加剧,现有智能门锁和手机APP对外通讯不少厂家没有使用安全措施,只有部分使用软件数据加密的方案,极少部分厂家使用了硬加密的方案。
  • 门锁厂商多数认为远程开锁的安全性较为不可控,所以,即使支持手机APP远程开锁等的功能,但尚未实际开通。
  • 部分厂家将智能门锁中所存储的密钥、指纹特征值、其他敏感信息等均保存在软件固件中,一旦被黑客攻击,用户不仅失去对自己门锁的控制权,还会泄露自身的身份信息,这是对用户的财产和人身安全的双重风险。
  • 部分门锁厂商后台服务器存储了与门锁相匹配的密钥信息,一旦门锁遭到破解,黑客甚至可以反向攻击厂商的服务器。
  • 云服务方面大多数厂家使用外采云平台,但部分厂家只购买了虚拟机没有购买防御安全攻击的服务。

其他领域的安全隐患

智能锁密码键盘组件的安全风险

11.png

  • 键盘无遮挡,密码存在被偷窥风险
  • 在键盘表面安装overlay,存在获取密码风险
  • 不同按键声音可能不同,存在泄露密码的风险
  • 缺少主动探测的防拆机制,存在安装物理攻击设备窃取密码的风险

智能锁固件提取和逆向风险

12.png

  • 主控芯片未进行保护,固件程序存在被提取和逆向风险,导致知识产权泄露
  • 对固件进行逆向,容易造成隐私泄露的风险

智能锁IC卡组件的安全风险

13.png

  • ID卡等只判断卡片ID号,很容易通过卡片复制,实现开锁
  • mifare 1等类似的逻辑卡或 promark RFID破解工具,可以从市面购买读卡器,实现复制卡片
  • CPU卡,如果IC卡没有安全级别认证,可通过攻击手段实现卡片复制

智能锁侧信道攻击安全风险

14.png

  • 充电口进行电压毛刺攻击,可能导致锁体逻辑混乱进入非预期状态,或解锁过程中进行攻击绕过鉴权
  • 进入调试模式(安卓、私有化系统)
  • 通过电磁注入攻击,可能导致芯片重置复位,或绕过某些重要逻辑判断

智能锁安全发展展望

机械结构领域

随着新材料、新工艺的逐步发展,随着机电一体化技术在智能锁领域的成熟应用,未来智能锁在机械机构领域必将迎来新的发展。

  1. 在整体机械结构设计上,目前较为混杂,不同的厂家有不同的风格与标准,有的结构相对简单,功能较少,有的很复杂,附加功能也比较多。但是,智能锁始终是一个稳定为第一要务的产品,未来设计上总体会趋同,稳定的结构方案逐步淘汰不稳定的方案,结构上总体会趋于简单与整合。
  2. 材料与工艺方面,目前锁具所用的材料主要为锌合金与不锈钢为主,少部分使用铝合金。基于智能锁安全可靠的属性,预期未来随着在高端锁中钛合金、碳纤维、铜合金将逐步应用的智能锁中。而随着电镀、烤漆等表面处理工艺的环保问题的日益突出,未来包括金属贴膜、钢化玻璃、陶瓷等工艺将有可能更多的应用于智能锁领域。
  3. 锁体方面,虽然目前全自动的锁体存在不少缺陷,但是锁体的全自动化肯定是个趋势,这能大幅提升用户的体验,相信随着技术的突破,全自动锁体将会进一步提升市场份额。

生物识别技术

人工智能识别

15.png

  • 多因子组合验证
  • 按需组合验证因子
  • 验证因子采集,存储,传输符合安全规范要求

通信与安全服务技术

技术展望

16.png

  • 通用密码技术讲在智能门锁普及,并极大的提高数字安全强度。
  • 伴随硬件及软件技术的发展,数字安全将广泛适用于智能门锁。
  • 安全载体SE,TEE,TrustZone等安全技术将为智能门锁的各种场景提供安全运行环境。

安全展望

17.png

智能门锁:添加硬件保护SE,支持安全启动、安全升级、安全存储、身份识别和安全通讯等功能。

智能家居网关:添加硬件保护SE,支持安全启动、安全升级、安全存储、身份识别和安全通讯等功能。

手机APP:添加安全加固的方案,采用具有身份认证,敏感信息输入安全防护,敏感数据安全存储、安全传输,代码防篡改、防逆向、防重打包、防调试等防护措施。

云服务:添加防御安全攻击的服务,定期进行安全漏洞扫描。

智能锁厂家:定期对系统、设备做安全方面的审计和评估,对评估报告中的安全漏洞进行升级;公司建立专门的有效的安全事件应对预案,能够在出现安全事件的时候及时跟踪和处理。

安全芯片技术

智能锁安全芯片设计架构

18.png

(本文为原创内容,转载请注明来源……)


28.png

来源:freebuf.com 2020-05-26 14:48:59 by: TC111金牛座

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论