测试一NFC门卡复制测试--碰一下就能偷走你的"钥匙"吗?
刷卡开门,几乎成了智能门锁的标配。然而,当厚重的钥匙变成薄薄一张卡,"配钥匙"的难度也可能随之降低。碰一下就能偷走"卡片"钥匙开门,有可能吗?
测试人员针对12款智能门锁中10款支持刷卡开门的门锁进行网络安全攻防测试,通过不同强度的攻击来验证门锁的防御能力:
1. 低强度攻击测试:使用有门卡模拟功能的手机直接复制;
2. 中高强度攻击测试:使用Proxmark 3工具及NCI协议分析等技术手段复制门卡。
测试结果
2款门锁表现较好(小米E30、凯迪仕Q20F Pro),其门卡采用了复杂的加密技术,使用普通手机无法获取信息,通过技术手段复制门卡的难度也较大;
5款门锁存在风险(威恒8802、鹿客P7、海尔P30 Pro、凯利莱K9S、京东京造M1),其门卡采用了简单的加密技术,使用普通手机无法复制,但通过技术手段复制门卡的难度较低,接触卡片1秒就能复制并开锁;
3款门锁风险较大(博克V6P、索将军S9、英典K18),其门卡未加密,测试人员可以用有门卡模拟功能的手机轻易复制门卡并开锁。
【小知识】
NFC门卡的加密技术分为简单加密和复杂加密两种。简单加密指厂商将固定的或者有规律的密钥写入卡片的部分扇区中,复杂加密指卡片与门锁之间存在双向认证机制,门锁和卡片都需要对数据进行签名并互相校验签名的有效性。
测试二临时密码网络安全测试--临时密码会变成"永久通行证"吗?
保洁上门、上门喂猫,人不在家怎么办?生成一个"临时密码",使用一次就失效,非常便捷。然而,如果临时密码被破解,会导致永久密码泄露吗?
测试人员针对12款支持临时密码的门锁进行进行网络安全攻防测试,通过不同强度的攻击来验证门锁的防御能力:1. 低强度攻击测试:通过简单的密码猜测、或弱密码暴力破解;
2. 中高强度攻击测试:破解临时密码的生成算法。
测试结果
8款门锁表现较好(小米E30、德施曼Q5M Pro、凯迪仕Q20F Pro、鹿客P7、海尔P30 Pro、萤石Y2000F、博克V6P、索将军S9),其临时密码生成方式复杂,不易被破解;
4款门锁存在风险(凯利莱K9S、威恒8802、京东京造M1、英典K18),测试人员几分钟就能临时密码推算出管理员密码,实现无限次开锁,有两款甚至秒破解。
