Z-Wave是一種用於結構簡單、性能可靠、用於家庭自動化的無線通信協議,由位於丹麥哥本哈根的一家科技公司Zensys在2001年一手開發完成。美國公司Sigma Designs在Sigma Designs完成了對Z-Wave的收購,並在今年4與18日宣佈將Z-Wave業務以2.4億美元的價格出售給Silicon Labs公司(也稱“芯科科技”)。
基於Z-Wave技術構建的無線網絡通常被用於家用電器與設備之間的通信,允許用戶通過本地網絡設備或者互聯網對家用電器和其他設備進行無線遙控,如照明系統、安全警報系統、恆溫器、智能鎖和車庫大門開啟裝置等等。
來自Pen Test Partners公司的兩位安全研究員Ken Munro和Andrew Tierney指出,Z-Wave所使用的最新安全標準被稱為S2框架,採用了一種先進的匿名密鑰協議,即橢圓曲線密鑰交換機制(Elliptic-CurveDiffie-Hellman,ECDH),在控制器和客戶端設備之間共享唯一的網絡密鑰配對過程。
在Silicon Labs公司接手Z-Wave業務之後,他們強制要求認證的物聯網設備使用最新的S2框架,因為之前的S0框架已經在2013年就被證實存在安全隱患。S0框架使用硬編碼加密密鑰(即0000000000000000)來保護網絡密鑰,這允許攻擊者在目標設備範圍內攔截通信而這個隱患在S2框架中得到了徹底解決。
Munro和Tierney發現,目前許多物聯網設備仍然支持不安全的S0框架,其目的在於實現兼容性。但他們表示,同時支持兩種框架的設備很可能會被迫使將配對過程從S2降級到S0,並將這種降級攻擊技術命名為“Z-Shave”。
研究人員解釋說,包含安全類的nodeinfo命令完全未加密且沒有經過身份驗證,允許攻擊者允許截獲或欺騙沒有設置安全類節點的命令。這使得攻擊者很容易能夠攔截一定範圍內處於配對過程中的密鑰交換,並獲得能夠遠程遙控設備的網絡密鑰。
兩位研究人員在實驗過程中對ConexisL1智能門鎖進行了測試,這是一款由英國Yale公司生產的智能門鎖,售價約為360美元。測試結果證實,他們完全能夠竊取到密鑰,並獲得對該智能門鎖的永久控制權。
研究人員強調,我們應該將注意力的重點放在不安全的S0框架以及Z-Shave降級攻擊技術 上,而並不僅僅是ConexisL1智能門鎖。根據相關資料顯示,截至到今年4月18日,共有2400家供應商生產的物聯網設備使用了Z-Wave芯片,涵蓋門鎖、照明、取暖器和家用警報器等一系列產品,而產品數量可能達到 1億多臺。
Silicon Labs公司在上週發表的一篇博文中肯定了Pen Test Partners公司的研究成果,但表示這種降級攻擊想要在實際中實現幾乎不可能。因為,發起攻擊需要攻擊者在配對過程中物理接近設備,而配對是在初始安裝或重新安裝期間完成的,需要由設備所有者或者安裝專業人員來完成,這意味著在嘗試攻擊時設備所有者肯定會在現場。
Silicon Labs公司表示,儘管攻擊在實際中難以實現,但他們仍然十分重視夥伴公司提交的報告。完全將S0框架替換為S2框架無法在短期內徹底實現,因為這需要解決兼容性問題。另外,該公司表示他們正在更新規範,以確保任何用戶在降級到S0時不僅會收到警告,而且還必須選擇“接收”,降級才會被執行。
閱讀更多 黑客視界 的文章
