ZigBee智能家居設(shè)備被黑？先看ZigBee聯(lián)盟回應(yīng)

　　前不久，在拉斯維加斯的2015黑帽子大會上，Cognosec 公司發(fā)布了一篇論文，指出在 ZigBee 協(xié)議實施方法中的一個缺陷。該公司稱該缺陷涉及多種類型的設(shè)備，黑客有可能以此危害 ZigBee 網(wǎng)絡(luò)，“接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)”，隨意操控聯(lián)網(wǎng)門鎖、報警系統(tǒng)，甚至開關(guān)燈泡等。

　　近日，作為為消費(fèi)、商業(yè)和工業(yè)應(yīng)用領(lǐng)域創(chuàng)建開放式全球物聯(lián)網(wǎng)標(biāo)準(zhǔn)的非營利性組織，國際ZigBee聯(lián)盟就該問題給予了回應(yīng)。ZigBee聯(lián)盟認(rèn)為，ZigBee聯(lián)盟及成員開發(fā)協(xié)議充分考慮了設(shè)備互動性、易用性和安全性的平衡點，即以最小的暴露風(fēng)險來提供最好的“智能”功能。而黑帽子大會上涉及的ZigBee安全漏洞是一個在單節(jié)點初始化時的小漏洞，入侵該小漏洞需要懂得豐富的專業(yè)知識和設(shè)備，只有安全團(tuán)隊可以做到。

　　ZigBee聯(lián)盟還表示，鼓勵各方組織把他們的發(fā)現(xiàn)帶進(jìn)開發(fā)討論，進(jìn)而在智慧家庭的發(fā)展中提高用戶體驗和信心。ZigBee技術(shù)是由一些全球最為成功的公司所創(chuàng)建的協(xié)議，所有這些公司都會關(guān)注最新的安全方案。ZigBee聯(lián)盟成員的技術(shù)工作組一直在積極審查ZigBee安全框架，尋求業(yè)界最佳方法，來保持走在不斷演變的安全威脅之前。

　　以下是官方聲明中英全文：

　　ZigBee聯(lián)盟及其成員開發(fā)標(biāo)準(zhǔn)和協(xié)議是建立在一個適當(dāng)?shù)钠胶恻c之上的，它綜合考慮了設(shè)備的安全互動以及易用性，并以最小的暴露風(fēng)險來提供最好的“智能”功能。

　　我們很清楚黑帽子此次推出的報告。報告描述的是一個在單節(jié)點初始化時的小漏洞，發(fā)生在用戶開箱加網(wǎng)（當(dāng)用戶安裝新設(shè)備）或者當(dāng)一個設(shè)備跟父節(jié)點失去連接重新加網(wǎng)的時候——通常這意味著幾毫秒的密鑰交換。入侵該小漏洞需要懂得豐富的專業(yè)知識和設(shè)備，不可能發(fā)生在安全團(tuán)隊之外。

　　安全性必須要與應(yīng)用保持一致，其方案由手頭可利用的資源所決定。當(dāng)一個燈泡既沒有鍵盤也沒有顯示器的時候，要給它輸入16位密碼是非常困難的。而如果一個方案太昂貴，太難安裝，或者太耗時，消費(fèi)者是不會用它的。

　　ZigBee技術(shù)由一些全球最為成功的公司所創(chuàng)建，所有這些公司都會關(guān)注最新的安全方案。ZigBee聯(lián)盟成員的技術(shù)工作組一直在積極審查ZigBee安全框架，尋求業(yè)界最佳方法，來保持走在不斷演變的威脅之前，因此我們歡迎這種開放標(biāo)準(zhǔn)團(tuán)隊的分析。

　　The ZigBee Alliance and its members take security very seriously. Our members develop standards and protocols to strike the appropriate balance between ease of use and secure interaction of devices to afford the greatest ‘smart’ functionality with the least exposure.

　　We are aware of the report promoted from Black Hat， The risk described is small regarding a singular point in the initial， out-of-the-box joining （when the homeowner is installing a new device） or when a device is re-joining the network after losing contact with its parent – which is a few milliseconds of key exchange. The hack requires substantial knowledge and equipment and is unlikely to occur outside of the security community.

　　Security has to fit the application， and schemes are dictated by the resources at hand. It is very hard to enter a 16-digit passphrase into a light bulb when there is no keyboard or monitor. If a scheme is too expensive， too difficult to install， or too time-consuming – consumers won’t apply it.

　　ZigBee technology is created and implemented by some of the most successful companies in the world， all of which have access to the latest security schemes. Members of ZigBee Alliance technical working groups actively review the ZigBee security framework as well as industry best practices to stay ahead of evolving threats， and therefore welcome this type of analysis as an open standards community.

　　關(guān)于ZigBee技術(shù)及ZigBee聯(lián)盟：

　　ZigBee技術(shù)是一種近距離、低復(fù)雜度、低功耗、低速率、低成本的雙向無線通訊技術(shù)，主要用于距離短、功耗低且傳輸速率不高的各種電子設(shè)備之間進(jìn)行數(shù)據(jù)傳輸以及典型的有周期性數(shù)據(jù)、間歇性數(shù)據(jù)和低反應(yīng)時間數(shù)據(jù)傳輸?shù)膽?yīng)用。

　　ZigBee聯(lián)盟是為消費(fèi)、商業(yè)和工業(yè)應(yīng)用領(lǐng)域創(chuàng)建開放式全球物聯(lián)網(wǎng)標(biāo)準(zhǔn)的非營利性組織，在全球擁有成員公司400多家，覆蓋芯片供應(yīng)商，設(shè)備制造商，電視、電信運(yùn)營商，認(rèn)證機(jī)構(gòu)，大型零售集團(tuán)等產(chǎn)業(yè)鏈的各個環(huán)節(jié)，在智能家居乃至整個物聯(lián)網(wǎng)行業(yè)具有重大影響。董事會成員包括恩智浦半導(dǎo)體、康卡斯特有線、飛思卡爾半導(dǎo)體、艾創(chuàng)、克羅格、蘭吉爾、羅格朗、飛利浦、施耐德、芯科、德州儀器、物聯(lián)傳感（亞洲區(qū)唯一董事會成員）、SmartThings等13家全球知名企業(yè)。

【瘋PK】黑客要黑進(jìn)ZigBee智能家居，你怎么看？