智能門鎖網(wǎng)絡(luò)安全分析報告

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室

啟明星辰積極防御實(shí)驗(yàn)室（ADLab）

北京同余科技有限公司

云丁網(wǎng)絡(luò)技術(shù)（北京）有限公司

引言

2016年起，隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)的不斷成熟和廣泛應(yīng)用，加上資本的助推，智能家居異軍突起，成為新興產(chǎn)業(yè)勢力。智能門鎖作為智能家居產(chǎn)業(yè)中的代表性產(chǎn)品之一，發(fā)展?jié)摿Ψ浅＞薮螅?017年智能門鎖產(chǎn)值超過百億元，市場規(guī)模接近800萬把，預(yù)計2020年智能門鎖市場規(guī)模將達(dá)到4000萬把。 

智能門鎖是一個典型的物聯(lián)網(wǎng)系統(tǒng)，其整個系統(tǒng)由感知層、傳輸層和應(yīng)用層組成，包括智能門鎖設(shè)備、智能家庭網(wǎng)關(guān)、手機(jī)APP和云端服務(wù)等組件。其中傳輸層與應(yīng)用層技術(shù)為現(xiàn)有互聯(lián)網(wǎng)技術(shù)，相對成熟穩(wěn)定。在感知層，用戶身份認(rèn)證方式主要有固定密碼、臨時密碼、指紋、掌紋、人臉、RFID、NFC和APP等，近場接入技術(shù)主要有WIFI、藍(lán)牙、Zigbee、433Mhz和 315MHz等。隨著智能門鎖的流行，各種安全隱患也不斷被暴露出來，指紋復(fù)制、密碼猜解、強(qiáng)磁干擾、APP漏洞、近場通信劫持、WIFI流量劫持和云端服務(wù)漏洞等各種智能門鎖的安全事件已經(jīng)被媒體廣泛報道。

智能門鎖的安全將會直接導(dǎo)致個人和家庭的生命財產(chǎn)安全，其重要性勿需多言。本報告重點(diǎn)關(guān)注智能門鎖的網(wǎng)絡(luò)安全問題，首先分析了智能門鎖的發(fā)展趨勢，梳理了智能門鎖的各種開鎖技術(shù)。接下來深入分析了智能門鎖的各項(xiàng)聯(lián)網(wǎng)技術(shù)，并根據(jù)智能門鎖的組網(wǎng)體系架構(gòu)提出了其安全風(fēng)險模型，同時結(jié)合具體的智能門鎖安全漏洞進(jìn)行案例驗(yàn)證分析。最后從個人用戶、廠商和行業(yè)主管等幾個方面分別提出了幾點(diǎn)智能門鎖網(wǎng)絡(luò)安全的建議，希望能給智能門鎖行業(yè)提供一些參考。

1、智能門鎖市場現(xiàn)狀與發(fā)展趨勢

智能門鎖是指區(qū)別于傳統(tǒng)機(jī)械鎖的基礎(chǔ)上改進(jìn)的一類門鎖，在用戶安全性、識別性和管理性方面更加智能化和簡便化的鎖具。廣義上說，具有指紋門鎖、密碼門鎖、藍(lán)牙門鎖或者APP互聯(lián)網(wǎng)門鎖等任一功能的門鎖均可稱為智能門鎖。

據(jù)《鯨準(zhǔn)研究院-2018中國智能門鎖行業(yè)深度研究報告》數(shù)據(jù)，2017年智能門鎖銷量約800萬套，行業(yè)總產(chǎn)值超過100億元，在2016年的基礎(chǔ)上實(shí)現(xiàn)了翻倍增長，2018年有望繼續(xù)翻倍。截至2018年6月底，我國4億家庭智能門鎖滲透率在5%左右，3000萬套B端運(yùn)營的租賃公寓滲透率在10%左右，未來發(fā)展空間巨大。

到2020年，我國智能門鎖年銷量將超過 4000萬套，市場規(guī)模將超400億元。2018、2019和2020三年將是智能門鎖發(fā)展的黃金三年，到2022年，我國4億家庭的智能門鎖滲透率將達(dá)到35%，達(dá)到2018年歐美的水平，公寓端的滲透率將超過50%。

從技術(shù)發(fā)展趨勢方面說，智能門鎖的聯(lián)網(wǎng)方式目前主要是WIFI和藍(lán)牙，此外還有Zigbee、433MHz和 315MHz等，由于WIFI和NB-IoT優(yōu)勢非常明顯，未來將會成為智能門鎖的主流聯(lián)網(wǎng)方式。

2、智能門鎖技術(shù)發(fā)展現(xiàn)狀

2.1 智能門鎖組網(wǎng)技術(shù)

智能門鎖的整體組網(wǎng)為典型的物聯(lián)網(wǎng)三層結(jié)構(gòu)，即感知層、傳輸層和應(yīng)用層。其中感知層由智能門鎖和智能手機(jī)APP組成，傳輸層包括家庭智能網(wǎng)關(guān)和移動通信基站等，應(yīng)用層即為智能門鎖云平臺。下圖列示了現(xiàn)在常見的智能門鎖的聯(lián)網(wǎng)方案，不同廠商不同型號的門鎖往往選擇其中一種或幾種連接方式實(shí)現(xiàn)聯(lián)網(wǎng)。

圖2-1 典型的智能門鎖組網(wǎng)技術(shù)

在感知層，由于受到功耗的限制，大部分智能門鎖采用電池供電，其通信方式主要有藍(lán)牙、ZigBee、NB-IoT、433MHz和315MHz等。也有部分門鎖有條件采用交流電供電，該類門鎖通常采用WIFI方式與云端進(jìn)行通信。

在傳輸層，其通信方式主要有家用寬帶（WIFI/以太網(wǎng)）和移動通信（3G/4G）。

應(yīng)用層即智能門鎖的云端服務(wù)，主要負(fù)責(zé)智能門鎖的設(shè)備接入、身份認(rèn)證、邏輯控制、數(shù)據(jù)分析和業(yè)務(wù)展示等。目前智能門鎖云端服務(wù)主要部署在云上，如阿里云、AWS、Azure和騰訊云等，以及各廠商自己的私有云上。

2.2 智能門鎖開鎖模式

2.2.1 固定密碼開鎖模式

用戶在安裝固定密碼智能門鎖的時候，需要先進(jìn)行門鎖初始化，并完成密碼設(shè)置，該密碼存儲在智能門鎖的固態(tài)存儲空間，同時也會上傳到云端進(jìn)行存儲。

在用戶開鎖時，在門鎖上輸入密碼，如果輸入的密碼與預(yù)先設(shè)置的密碼一致，則可打開門鎖。

圖2-2 固定密碼開鎖模式

2.2.2 臨時密碼開鎖模式

在臨時密碼開鎖模式下，戶主會通過手機(jī)APP從云端獲取當(dāng)前時段開鎖的臨時密碼，并通過短信、微信或者手機(jī)APP等方式將臨時密碼發(fā)送給訪客。

訪客在門鎖上輸入接收到的臨時密碼后，門鎖會將該密碼與云端自動生成的當(dāng)前時段臨時密碼進(jìn)行對比，如果成功，則開鎖。

圖2-3 臨時密碼開鎖模式

2.2.3 生物鑰匙開鎖模式

目前，市面上常用且穩(wěn)定可靠的智能門鎖開鎖生物特征主要有指紋、掌紋、虹膜和人臉等。

該類門鎖在安裝的過程中，會將指紋、掌紋、虹膜和人臉等生物特征初始化到智能門鎖固態(tài)存儲或者云端。

用戶開鎖時，門鎖需要采集用戶的指紋、掌紋、虹膜和人臉特征，并傳統(tǒng)到云端與初始化特征進(jìn)行對比，如果對比成功，則開鎖。

圖2-4 生物鑰匙開鎖模式

2.2.4 智能卡鑰匙開鎖模式

用于智能門鎖開鎖的智能卡主要有RFID卡、NFC卡和CPU卡三類，該類門鎖主要應(yīng)用在酒店和公寓等場景。

使用RFID卡的門鎖，門禁管理系統(tǒng)會在RFID卡中寫入代表該卡身份的字符串，在開鎖時，門鎖提取RFID卡中的字符串，并傳輸?shù)皆贫诉M(jìn)行對比，對比成功，則開鎖。

使用NFC卡和CPU卡的門鎖，門禁管理系統(tǒng)會在NFC卡和CPU卡中寫入代表該卡身份的私鑰和公鑰，在開鎖時，該卡通過門鎖與云端進(jìn)行雙向身份認(rèn)證，如果認(rèn)證成功，門鎖接收到云端的開鎖指令，打開門鎖。

圖2-5 智能門禁卡開鎖模式

2.2.5 手機(jī)APP開鎖模式

采用手機(jī)APP開鎖的門鎖，在初始化的過程中，云端會將門鎖與指定手機(jī)上的APP進(jìn)行綁定。

在用戶開鎖時，用戶在手機(jī)APP上完成身份認(rèn)證，然后在手機(jī)上點(diǎn)擊開鎖按鈕，智能門鎖就會接收到云端下發(fā)的開鎖指令，然后打開門鎖。

圖2-6 手機(jī)APP開鎖模式

3、智能門鎖安全風(fēng)險與案例分析

3.1 安全風(fēng)險模型

根據(jù)智能門鎖的組網(wǎng)體系架構(gòu)，其安全風(fēng)險可以劃分為以下五個方面：智能門鎖安全風(fēng)險（針對智能門鎖設(shè)備的攻擊）、移動應(yīng)用安全風(fēng)險（針對智能門鎖手機(jī)APP的攻擊）、近場通信安全風(fēng)險(針對WIFI、ZigBee、藍(lán)牙、433和315等通信方式的攻擊)、網(wǎng)絡(luò)安全風(fēng)險（針對家庭智能網(wǎng)關(guān)和有線數(shù)據(jù)攔截的攻擊）和應(yīng)用安全風(fēng)險（針對智能門鎖云平臺的攻擊）。

圖3-1 智能門鎖網(wǎng)絡(luò)安全風(fēng)險模型

3.2 智能門鎖安全風(fēng)險

3.2.1 生物鑰匙攻擊

智能門鎖的常用生物鑰匙中，虹膜和人臉的偽造難度較高，已知的攻擊風(fēng)險較小，但指紋和掌紋有較高的偽造風(fēng)險，難度低，已經(jīng)比較常見。

圖3-2 指紋識別攻擊

3.2.2 固定密碼安全

在使用固定密碼的智能門鎖中，經(jīng)常出現(xiàn)使用默認(rèn)密碼、后門密碼、密碼邏輯漏洞和短密碼等問題，并存在密碼泄漏等現(xiàn)象。

圖3-3 固定密碼攻擊

3.2.3 固件竊取和逆向

攻擊者拆開智能門鎖后，通過專用工具從固件存儲器中讀取固件內(nèi)容，然后逆向分析固件存在的漏洞，再結(jié)合其它攻擊手段對漏洞進(jìn)行利用。

圖3-4固件讀取

3.2.4 無線饋電攻擊

（1）原理分析

無線饋電是一項(xiàng)應(yīng)用廣泛的技術(shù)，包括電磁爐、無線充電、非接觸卡等。一些智能門鎖由于設(shè)計缺陷，在布線及電路設(shè)計時沒有考慮電磁干擾問題。攻擊者可以利用特斯拉線圈通過無線電波干擾，使得智能門鎖的內(nèi)部電路產(chǎn)生直流饋電。

如果這種直流饋電足夠高，將觸發(fā)智能門鎖小型電機(jī)驅(qū)動鎖芯實(shí)現(xiàn)開鎖?；蛘邔?dǎo)致MCU的邏輯異常而重啟，有的智能門鎖默認(rèn)重啟后會自動開鎖。

圖3-5 開鎖電路圖

（2）案例分析

2018年5月26日，第九屆中國（永康）國際門業(yè)博覽會上，一位女士以一個小黑盒連續(xù)打開了多家品牌的智能門鎖，最短的時間只有3秒，一篇名為《那個女人毀了整個指紋鎖行業(yè)》的文章迅速躥紅，成為智能門鎖圈的惡夢。

“小黑盒”的原理是特斯拉線圈通電后，可能產(chǎn)生兩種效果：一是利用智能門鎖電路的饋電系統(tǒng)驅(qū)動電流打開門鎖；二是該線圈產(chǎn)生強(qiáng)電磁脈沖攻擊智能門鎖芯片，會造成芯片死機(jī)并重啟，有的智能門鎖默認(rèn)重啟后會自動開鎖。

圖3-6 “小黑盒”開鎖圖

3.3 移動應(yīng)用安全風(fēng)險

（1）原理分析

移動應(yīng)用APP中存在各種常見的安全風(fēng)險，如：移動端APP代碼中或者固件中使用固定的加解密密鑰；移動端APP代碼沒有采用加固和混淆技術(shù)使得代碼被完整逆向，進(jìn)而了解并破解開鎖機(jī)制然后構(gòu)造控制指令進(jìn)行攻擊；開發(fā)人員遺留的代碼BUG問題，有可能導(dǎo)致繞過相關(guān)權(quán)限驗(yàn)證；移動端操作系統(tǒng)出現(xiàn)相關(guān)漏洞，導(dǎo)致被植入惡意代碼進(jìn)而控制手機(jī)實(shí)現(xiàn)攻擊；移動端APP和設(shè)備之間的認(rèn)證問題，如果移動端APP和設(shè)備之間的認(rèn)證過程出現(xiàn)漏洞，這就容易導(dǎo)致中間人攻擊，即偽造一個假移動端APP和真實(shí)設(shè)備進(jìn)行通信達(dá)到欺騙目的進(jìn)而實(shí)現(xiàn)攻擊。

攻擊者利用智能門鎖對應(yīng)的APP存在的這些漏洞或缺陷，繞過智能門鎖、APP和云端服務(wù)預(yù)先設(shè)定的邏輯，實(shí)現(xiàn)非授權(quán)的開鎖操作。

（2）案例分析

某品牌智能門鎖存在密碼重置漏洞（漏洞編號CNVD-2017-03908）。我們通過逆向智能門鎖APP，分析其代碼邏輯及智能門鎖APP與云端網(wǎng)絡(luò)交互的報文，掌握了相關(guān)云端接口的定義。發(fā)現(xiàn)該品牌鎖的某個業(yè)務(wù)接口缺少用戶合法性驗(yàn)證，攻擊者可以利用已經(jīng)掌握的用戶信息，繞過合法性驗(yàn)證進(jìn)行密碼重置。攻擊者利用重置后的密碼完成登錄后，可以進(jìn)行開鎖和修改用戶信息等操作。在此研究基礎(chǔ)上，我們又做了進(jìn)一步的安全分析，發(fā)現(xiàn)了一個影響更大的安全問題：攻擊者通過該漏洞可以獲取該智能門鎖產(chǎn)品的全部用戶資料，包括手機(jī)號和開門密碼。由于該漏洞不依賴手機(jī)驗(yàn)證碼，這種攻擊具有更大的隱蔽性，因此危害更大。

圖3-7 移動應(yīng)用安全案例

3.4 近場通信安全風(fēng)險

3.4.1 RFID門鎖攻擊

（1）原理分析

RFID卡中存儲代表持卡人身份信息的字符串，而一般的RFID卡中的信息以明文形式存儲，或者僅經(jīng)過簡單處理后存儲，攻擊者可以讀取其中的信息，并復(fù)制到其卡片中，從而獲取持卡人的授權(quán)。

（2）案例分析

某品牌智能門鎖為RFID門鎖，測試人員從淘寶上購買簡單的RFID讀寫器，即可從已有的RFID卡中讀取信息，并寫入到新的RFID卡中，并通過新的RFID正常打開門鎖。

該類RFID卡常常以小區(qū)門禁、樓宇門禁和酒店房卡等形式出現(xiàn)，造成的影響面極大。

圖3-8讀取門禁卡信息

3.4.2 315Mhz無線電門鎖攻擊

（1）原理分析

無線電門鎖響應(yīng)指定的無線電信號，而一般的無線電門鎖的信號是固定的，攻擊者可以重放無線電信號或?qū)π盘栠M(jìn)行簡單處理，從而偽造真實(shí)用戶開關(guān)門鎖的行為。

（2）案例分析

某品牌智能門鎖存在無線電信號重放攻擊漏洞（漏洞編號CNVD-2018-02695）。該門鎖為無線電門鎖，測試人員從淘寶上購買簡單的無線電收發(fā)器，即可抓取無線電門鎖開關(guān)門信號，并存儲此無線電數(shù)據(jù)包到本地，通過重放包含開鎖信號的無線電數(shù)據(jù)包即可打開門鎖。

該類無線電門鎖常常以車庫門禁、家庭門禁和汽車門等形式出現(xiàn)，這種攻擊行為可形成巨大安全隱患。

圖3-9 利用無線電工具重放信號開鎖

3.5 網(wǎng)絡(luò)通信安全風(fēng)險

（1）原理分析

有的智能門鎖直接通過WIFI信號連接到互聯(lián)網(wǎng)，而其它通信方式的門鎖連接到相應(yīng)的網(wǎng)關(guān)后，也會通過WIFI信號連接到互聯(lián)網(wǎng)，與此同時，手機(jī)APP在家時，也會通過WIFI連接到智能門鎖和云端服務(wù)器。考慮到大量的智能門鎖通信協(xié)議采用明文傳輸，或者加密傳輸過程中存在漏洞，通過攻擊WIFI路由器、智能家居網(wǎng)關(guān)，或者截持WIFI信號，可以實(shí)現(xiàn)對智能門鎖的控制。

（2）案例分析

某品牌智能門鎖存在設(shè)計漏洞（漏洞編號CNVD-2016-12586）。測試人員通過WIFI信號抓取，分析出APP與智能門鎖云端服務(wù)之間的通信是明文傳輸，并識別出智能門鎖開門和關(guān)門的特定數(shù)據(jù)包。

測試人員在劫持WIFI信號后，即可通過WIFI信號重放攻擊的方式，實(shí)現(xiàn)對門鎖的控制。

圖3-11 WIFI信號劫持實(shí)現(xiàn)開關(guān)門操作

3.6 云平臺服務(wù)安全風(fēng)險

（1）用戶身份鑒別漏洞

未限制密碼復(fù)雜度，未限制非法登陸次數(shù)，重置密碼的短信驗(yàn)證碼又本地產(chǎn)生或者存在于返回數(shù)據(jù)包中。

（2）訪問控制漏洞

后端信息系統(tǒng)沒有對數(shù)據(jù)包中重要訪問控制參數(shù)進(jìn)行校驗(yàn)，導(dǎo)致越權(quán)操作。還有存在遠(yuǎn)程代碼執(zhí)行漏洞，可以進(jìn)行root權(quán)限命令執(zhí)行。重要回話信息被劫持。

（3）云管理平臺系統(tǒng)存在web安全問題

常見的web安全漏洞同樣存在于智能門鎖云管理平臺，例如，SQL注入、任意文件上傳、失效的身份驗(yàn)證和回話管理、跨站腳本攻擊、不安全的直接對象引用、安全配置錯誤、敏感信息泄露、功能級訪問控制缺失、跨站請求偽造、使用含有已經(jīng)存在漏洞的組件和未驗(yàn)證的重定向和轉(zhuǎn)發(fā)等漏洞。

4、風(fēng)險防范和安全建議

根據(jù)智能門鎖風(fēng)險模型，智能門鎖面臨的安全風(fēng)險包括智能門鎖安全風(fēng)險、移動應(yīng)用安全風(fēng)險、近場通信安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險和應(yīng)用安全風(fēng)險等五個方面的風(fēng)險。

智能門鎖的安全問題一旦被黑客關(guān)注并利用，將會給用戶帶來非常直接的經(jīng)濟(jì)和財產(chǎn)損失，并給社會造成極為嚴(yán)重的負(fù)面影響。接下來將從用戶、廠商和行業(yè)三個角度，分別給出一些針對性的改進(jìn)意見和措施。

4.1 門鎖用戶

對于個人用戶來說，首先盡量選用知名品牌廠商生產(chǎn)、性價比適合自身的智能門鎖產(chǎn)品。其次如果家庭選擇安裝了智能家庭網(wǎng)關(guān)設(shè)備，應(yīng)盡量選擇具有安全功能的設(shè)備，如近場通信安全監(jiān)控和流量安全監(jiān)控等相關(guān)安全功能，對常見的攻擊行為進(jìn)行監(jiān)控即可有效提高家庭安全。

4.2 門鎖廠商

（1）確實(shí)提高移動應(yīng)用的安全質(zhì)量

智能門鎖廠商通過在移動應(yīng)用設(shè)計過程中引入安全設(shè)計，在移動應(yīng)用測試過程中增加安全測試，并通過安全加固等手段加強(qiáng)移動應(yīng)用的抗分析能力，可以較好地提高移動應(yīng)用的安全質(zhì)量。

（2）加強(qiáng)智能門鎖安全設(shè)計把關(guān)

智能門鎖廠商在設(shè)計的過程中，通過提高電磁屏蔽、關(guān)閉調(diào)試接口和調(diào)試功能、加固固件、增加指紋活性檢測、實(shí)施RFID加密、禁止簡單密碼、動態(tài)快速升級固件等多種安全措施，可以確實(shí)提高智能門鎖的抗攻擊能力。

（3）提高網(wǎng)絡(luò)安全防護(hù)水平

智能門鎖體系中智能門鎖、移動應(yīng)用和云端服務(wù)三者之間，都應(yīng)該采用規(guī)范的加密傳輸方式進(jìn)行通信，優(yōu)先選擇采用國家密碼管理部門批準(zhǔn)使用的密碼算法和密碼算法使用規(guī)范，以確保網(wǎng)絡(luò)通信的安全。

（4）持續(xù)保障云端服務(wù)安全

在提高應(yīng)用層安全風(fēng)險方面，應(yīng)該在云端服務(wù)設(shè)計過程中引入安全設(shè)計，在產(chǎn)品測試過程中引入安全測試，在服務(wù)上線后，進(jìn)行持續(xù)的滲透測試和風(fēng)險評估，選擇具有安全防護(hù)實(shí)力的云服務(wù)平臺，并部署相關(guān)的云端安全防護(hù)產(chǎn)品或服務(wù)，對云端實(shí)施從物理層、虛擬化層、主機(jī)層、網(wǎng)絡(luò)層、數(shù)據(jù)層到應(yīng)用層的全體系、全方位、全時段的安全監(jiān)控與運(yùn)維，形成完備的安全防護(hù)措施，確保云端服務(wù)的高度安全。

4.3 行業(yè)監(jiān)管和指導(dǎo)

對于智能門鎖整體行業(yè)，相關(guān)行業(yè)部門應(yīng)該組織制定一套完善的安全實(shí)施標(biāo)準(zhǔn)，覆蓋智能門鎖體系從規(guī)劃、設(shè)計、開發(fā)、測試、部署、上線到運(yùn)營的全部過程，強(qiáng)化整個行業(yè)的安全意識，確實(shí)提高整個行業(yè)整體的產(chǎn)品安全水平。同時組織制定配套的智能門鎖網(wǎng)絡(luò)安全產(chǎn)品檢測規(guī)范，聯(lián)網(wǎng)智能門鎖產(chǎn)品上市前應(yīng)進(jìn)行網(wǎng)絡(luò)安全相關(guān)檢測和認(rèn)證。