基于蓝牙的门锁存在哪些风险?是否有缓解措施?


6

目前市场上一些有趣的Bluetooth door locks使用版本蓝牙4.0然而,似乎有几个issues with this

..而且最糟糕的是我相信这是可能的“战争驱动器”,找到感兴趣的这些锁而不物理接近锁。

我的问题是;我认为这些风险是否合理? ......或者我谨慎行事,不要在家中使用蓝牙锁,我宁愿保持低调。

便利因素非常有趣,但我想确保在安装之前充分理解风险。

  0

任何链接到'war-drivign'蓝牙锁?它是第一次我听说过它,但它听起来很有趣:) 13 8月. 132013-08-13 09:19:16

  0

@ D3C4FF本身没有链接,但如果一个商场可以扫描购物者的蓝牙手机我会认为一个人可以扫描家庭的蓝牙锁 13 8月. 132013-08-13 11:43:04

4

非常有趣的技术的确

如果技术设计,开发和安全,那么它可以是相当安全的。它似乎提供了很多很酷的功能。

  • 配置按键在“App”上集中访问房屋。
  • 根据需要并按照约定的时间段向个人部署“钥匙”,且无需实际交付。
  • 根据需要停用密钥。
  • 许多可能的键,命名和配置和报告。
  • 蓝牙wardriving可能是可能的,但可以由系统提供商最小化/消除。

但是:它带来了额外的风险

  1. 关键系统供应商具有完全控制和访问你的家。
  2. 关键系统提供商必须保持业务继续使用锁。
  3. 可以主动中断Internet访问并停止某些功能(擦除/禁用密钥)
  4. 设计系统中的错误(网站上没有足够的信息来说明)。
  5. 在系统中执行错误,包括他们的网络系统(可能允许攻击者完全访问)。
  6. 如果重要:政府可以偷偷进入你的家。
  7. 拒绝家庭访问:系统故障或蓝牙无线电可能阻止入口或更糟的出口从家中出来(想想如果钥匙系统不工作,您将如何访问您的家,请记住钥匙不会被锁匠窃取) 。
  8. 任何带有钥匙的手机的远程或物理损害都可能危及您的房屋。
  0

我认为第7点是足以让我远离使用这种锁。我会说你是合理的。 13 8月. 132013-08-13 08:14:23

  0

第7点的出口部分可以通过添加一个物理的紧急开门按钮来解决。 13 8月. 132013-08-13 12:12:30

  0

嗨@AdnanG有足够的缓解第7点可以用一点预谋,但5和8是杀手。 13 8月. 132013-08-13 22:46:03


4

从技术上讲,没有理由认为以后的蓝牙类(2.1和之后)不能安全使用。 2007年E0漏洞已在蓝牙规范2.1版及更高版本中进行了修改,并且加密被作为配对过程中所需的部分进行了必要的修改。

鉴于安全配对(可以验证设备是否打开门)以及制造商或锁(使用安全引脚或密钥配对过程)的适当实施,锁应该比安全配对更安全一个典型的别针和滚揉机。

我可以确定两个主要的关注点。两者都涉及复杂性。传统别针和滚筒锁的主要美,以及主要弱点是简单。这是一个简单易行的防摔装置,因为它只需将针脚与圆柱体的边缘对齐,但这也使得它们可以轻松拾取。

另一方面,蓝牙锁是一个复杂的电子设备,有更多的零部件可以打破。设计良好的设备可以设计为解锁或在失败时保持锁定状态。对于从内部退出,如果您希望锁定失败或解锁失败,则应始终通过允许从外部退出而失败,这取决于您的偏好。

这在很大程度上被以下事实抵消:电子锁已经在商业上使用很多年了,具有高度的可靠性,所以它不是一个全新的事物。我建议这样的锁应该有一个已建立的标准回退访问方法,如HID(或类似的)感应卡访问,可用于在蓝牙子系统故障或蓝牙故障时覆盖蓝牙功能设备。它也可以通过要求感应卡进行配对以防止未经授权的设备配对来达到双重目的。

第二个也是更大的弱点是任何外部连接系统的进一步复杂性和独立性的丧失。如果该锁通过Web连接到外部服务,则该外部服务现在可以控制该锁,并且可能是系统完整性的妥协源。强烈期望体面的加密挑战/响应是安全的,但提供高级功能的Web服务根据特性的实现方式而出现问题的可能性要高得多。它为系统增加了大量的未知数,除非这些标准是众所周知的,发布的,或许我可以运行自己的东西,否则我会犹豫使用这些功能。

  0

作为个人附录。我最终决定利用Shlage的聪明的deadbolt。它不是专门基于蓝牙的,但是尽管自动化系统的妥协问题是一个因素,但与远程验证的能力相比,某个人简单地选择或碰撞锁的可能性比技术上复杂的攻击要大得多我的门的锁定状态和远程开放授权访问者。 (我也在使用可视门铃进行安全身份验证。) 10 3月. 162016-03-10 21:21:27