指紋密碼鎖廠家

指紋鎖安全風險提示,選購時要注意這些!

發布日期:2019-03-28 作者: 點擊:

指紋鎖安全風險提示,選購時要注意這些:

1、 RFID門鎖攻擊

(1)原理分析

RFID卡中存儲代表持卡人身份信息的字符串,而一般的RFID卡中的信息以明文形式存儲,或者僅經過簡單處理后存儲,攻擊者可以讀取其中的信息,并復制到其卡片中,從而獲取持卡人的授權。

(2)案例分析

某品牌智能門鎖為RFID門鎖,測試人員從淘寶上購買簡單的RFID讀寫器,即可從已有的RFID卡中讀取信息,并寫入到新的RFID卡中,并通過新的RFID正常打開門鎖。

該類RFID卡常常以小區門禁、樓宇門禁和酒店房卡等形式出現,造成的影響面極大。.

2、315Mhz無線電門鎖攻擊

(1)原理分析

無線電門鎖響應指定的無線電信號,而一般的無線電門鎖的信號是固定的,攻擊者可以重放無線電信號或對信號進行簡單處理,從而偽造真實用戶開關門鎖的行為。

(2)案例分析

某品牌智能門鎖存在無線電信號重放攻擊漏洞(漏洞編號CNVD-2018-02695)。該門鎖為無線電門鎖,測試人員從淘寶上購買簡單的無線電收發器,即可抓取無線電門鎖開關門信號,并存儲此無線電數據包到本地,通過重放包含開鎖信號的無線電數據包即可打開門鎖。

該類無線電門鎖常常以車庫門禁、家庭門禁和汽車門等形式出現,這種攻擊行為可形成巨大安全隱患。

智能指紋密碼鎖價格

3、網絡通信安全風險

(1)原理分析

有的智能門鎖直接通過WIFI信號連接到互聯網,而其它通信方式的門鎖連接到相應的網關后,也會通過WIFI信號連接到互聯網,與此同時,手機APP在家時,也會通過WIFI連接到智能門鎖和云端服務器??紤]到大量的智能門鎖通信協議采用明文傳輸,或者加密傳輸過程中存在漏洞,通過攻擊WIFI路由器、智能家居網關,或者截持WIFI信號,可以實現對智能門鎖的控制。

(2)案例分析

某品牌智能門鎖存在設計漏洞(漏洞編號CNVD-2016-12586)。測試人員通過WIFI信號抓取,分析出APP與智能門鎖云端服務之間的通信是明文傳輸,并識別出智能門鎖開門和關門的特定數據包。

測試人員在劫持WIFI信號后,即可通過WIFI信號重放攻擊的方式,實現對門鎖的控制。

5、云平臺服務安全風險

(1)用戶身份鑒別漏洞

未限制密碼復雜度,未限制非法登陸次數,重置密碼的短信驗證碼又本地產生或者存在于返回數據包中。

(2)訪問控制漏洞

后端信息系統沒有對數據包中重要訪問控制參數進行校驗,導致越權操作。還有存在遠程代碼執行漏洞,可以進行root權限命令執行。重要回話信息被劫持。

(3)云管理平臺系統存在web安全問題

常見的web安全漏洞同樣存在于智能門鎖云管理平臺,例如,SQL注入、任意文件上傳、失效的身份驗證和回話管理、跨站腳本攻擊、不安全的直接對象引用、安全配置錯誤、敏感信息泄露、功能級訪問控制缺失、跨站請求偽造、使用含有已經存在漏洞的組件和未驗證的重定向和轉發等漏洞。

1541668640264585.jpg

6、風險防范和安全建議 

根據智能門鎖風險模型,智能電子密碼門鎖面臨的安全風險包括智能門鎖安全風險、移動應用安全風險、近場通信安全風險、網絡安全風險和應用安全風險等五個方面的風險。

智能門鎖的安全問題一旦被黑客關注并利用,將會給用戶帶來非常直接的經濟和財產損失,并給社會造成極為嚴重的負面影響。接下來將從用戶、廠商和行業三個角度,分別給出一些針對性的改進意見和措施。

(1)門鎖用戶

對于個人用戶來說,首先盡量選用知名品牌廠商生產、性價比適合自身的智能門鎖產品。其次如果家庭選擇安裝了智能家庭網關設備,應盡量選擇具有安全功能的設備,如近場通信安全監控和流量安全監控等相關安全功能,對常見的攻擊行為進行監控即可有效提高家庭安全。

(2)門鎖廠商

確實提高移動應用的安全質量

智能門鎖廠商通過在移動應用設計過程中引入安全設計,在移動應用測試過程中增加安全測試,并通過安全加固等手段加強移動應用的抗分析能力,可以較好地提高移動應用的安全質量。

加強智能門鎖安全設計把關

智能門鎖廠商在設計的過程中,通過提高電磁屏蔽、關閉調試接口和調試功能、加固固件、增加指紋活性檢測、實施RFID加密、禁止簡單密碼、動態快速升級固件等多種安全措施,可以確實提高智能門鎖的抗攻擊能力。

提高網絡安全防護水平

智能門鎖體系中智能門鎖、移動應用和云端服務三者之間,都應該采用規范的加密傳輸方式進行通信,優先選擇采用國家密碼管理部門批準使用的密碼算法和密碼算法使用規范,以確保網絡通信的安全。

持續保障云端服務安全

在提高應用層安全風險方面,應該在云端服務設計過程中引入安全設計,在產品測試過程中引入安全測試,在服務上線后,進行持續的滲透測試和風險評估,選擇具有安全防護實力的云服務平臺,并部署相關的云端安全防護產品或服務,對云端實施從物理層、虛擬化層、主機層、網絡層、數據層到應用層的全體系、全方位、全時段的安全監控與運維,形成完備的安全防護措施,確保云端服務的高度安全。

(3)行業監管和指導

對于智能密碼指紋鎖整體行業,相關行業部門應該組織制定一套完善的安全實施標準,覆蓋智能門鎖體系從規劃、設計、開發、測試、部署、上線到運營的全部過程,強化整個行業的安全意識,確實提高整個行業整體的產品安全水平。同時組織制定配套的智能門鎖網絡安全產品檢測規范,聯網智能門鎖產品上市前應進行網絡安全相關檢測和認證。

本文網址:http://www.hiphonecarkit.com/news/473.html

關鍵詞:智能指紋密碼鎖銷售,智能指紋密碼鎖價格,智能指紋密碼鎖廠家

Z近瀏覽:

  • 在線客服
  • 聯系電話
    18663733311
  • 在線留言
  • 手機網站
  • 在線咨詢
    歡迎給我們留言
    請在此輸入留言內容,我們會盡快與您聯系。
    姓名
    聯系人
    電話
    座機/手機號碼
    郵箱
    郵箱
    地址
    地址
    18禁动漫肉肉无遮挡无码_乱人伦中文视频在线观看无码_国产精品青草久久福利不卡_美人被教官强伦姧免费看