【小知识】
临时密码生成方式主要有在线生成和离线生成两种。在线生成方式分为用户指定临时密码并同步给门锁和服务器自动生成并同步给门锁两种,这两种情况都需要门锁处于联网状态,离线生成方式一般通过固定特征如管理员密码、时间等计算得到临时密码,该方法无需门锁联网。
测试三遥控解锁网络安全测试--你家大门会被别人遥控打开吗?
用手机APP或小程序一键开锁,看似方便又快捷。这实际上是手机通过蓝牙或网络通信给门锁下发开锁指令实现的。一旦通信过程被破解,只需要知道户主的手机号,恶意攻击者就可能伪装成户主开锁。
测试人员针对12款智能门锁中9款支持手机遥控开锁的门锁进行网络安全攻防测试。此类测试需要分析和验证蓝牙和网络通信的漏洞问题,发送攻击指令,属于中高强度攻击。
测试结果
6款门锁表现较好(小米E30、德施曼Q5M Pro、凯迪仕Q20F Pro、海尔P30 Pro、萤石Y2000F、凯利莱K9S),通信防护较强,在本轮测试中未被解锁;
3款门锁风险较大(博克V6P、索将军S9、英典K18),测试人员可通过技术手段破解遥控开锁。
【小知识】
遥控解锁方式主要分为蓝牙解锁和网络解锁。蓝牙解锁一般是在手机与门锁蓝牙认证配对完成后,通过蓝牙通信发送解锁请求,网络解锁是指手机向服务器发送解锁请求,服务器在判断指令与权限的合法性后向门锁发起解锁请求。
GEEKCON提醒
产品的网络安全问题也是质量问题。在3·15国际消费者权益日之际,我们更应关注消费者的安全与权益。针对本次测评结果,我们已联络相关厂商,并呼吁智能门锁企业更加重视产品的网络安全问题,及时修复缺陷、升级防护措施,为消费者提供更安全、更可靠的产品,切实保障消费者的合法权益。
我们同时建议管理、监督推动智能门锁等智能家居产品网络安全标准全面落地,加强该类产品的网络安全监督,落实维护产品质量安全的管理措施,让消费者在享受智能科技便利的同时,也能拥有更安心的使用体验。
