智能门锁根本防不住黑客?云丁科技CTO:破解难度不亚于抢银行

隐私护卫队
原创2017-11-29 11:19
关注

据说,单是纽约市,每年就有200万人次被反锁在门外;每5个民众中,就有4个人的手里拿着早已忘记用途的钥匙。智能门锁于是在智能家居的大潮中应运而生——一个 APP,一套密码,甚至一个指纹,就可以轻松打开家门。不少厂商喊出“把你家钥匙彻底扔掉”的口号,成为“丢钥匙星人”的福音。


然而,正如所有的智能家居产品一样,智能门锁也须直面安全上的诸多挑战。近日,亚马逊为方便快递员送货推出的“智能门锁”新服务“亚马逊钥匙”(Amazon Key)就被曝出存在安全漏洞,快递员在送完货出门之后可重新悄悄潜入消费者家中。


image.png

spacer.gif

智能门锁的安全性到底如何?南都就此专访了云丁科技CTO张东胜。这家公司在今年3月推出了面向 C 端用户的智能门锁“Loock Touch(鹿客)”,支持密码、蓝牙、指纹和钥匙四种开锁方式,最快开锁用时0.4秒,号称全球最快。


智能门锁方便了用户,更方便了黑客?要看破解成本


在去年8月的2016年 DefCon 黑客大会上,电气工程师 Antony Rose 和同伴 Ben Ramsey 展示了惊人的一幕:他们用价值仅为100美元的 Ubertooth 嗅探器、40美元的平板电脑、50美元的高性能天线以及15美元的USB蓝牙适配器,成功破解了12款市场上常见的智能门锁。


DEFCON242.jpg


在公布的被破解锁具名单中,Quicklock 的门锁和挂锁、iBluLock 的挂锁、Plantrace Phantomlock 这四款都以明文形式将密码传送给手机,任何拥有蓝牙嗅探器的人都能在数据传输过程中窃取密码。


Antony Rose甚至直言不讳地表示“智能门锁的设计非常愚蠢”。“很多制造商更重视用户使用的便利性,而非安全性。”他评价说。此后,“智能门锁在黑客眼里不堪一击”的说法便流传开来。


不过,张东胜认为,这些漏洞都是在产品设计阶段就能够绕开的坑。正是因为有了类似的前车之鉴,鹿客在诸多方面都纳入了安全上的考量:密码、指纹等数据以加密方式存储在本地,不会上传至云端,提高了黑客的获取成本。不支持远程开锁,也就是说,黑客无法坐在自家沙发上就打开用户家的大门。


新一代的智能门锁可将指纹膜拒之门外


指纹2.jpg

美国大片中常常有这样的场景:主人公通过反派拿过的水杯、照片等成功复制出对方的指纹,借助指纹膜轻松进入反派的老巢。而现实中,指纹膜秒开手机、打卡机的新闻近两年也屡屡见诸报端。


阿里云等发布的《2017中国智能锁应用与发展白皮书》显示,2016年中国智能门锁销售总量约为350万套,生物识别中指纹识别是绝对主力,占比近98%。同样使用指纹信息的智能门锁,能否有效应对这样的风险?


张东胜说,这取决于智能门锁本身使用的硬件和算法是否过关。目前指纹识别有两种模式,一种是2D 识别,一种是3D 识别。前者使用光学指纹传感器,简单说就是只采集指纹的平面影像,开锁时通过影像比对进行识别。而3D 识别使用半导体传感器,只识别活体指纹。智能门锁使用3D 识别的话,指纹膜就很难蒙混过关了。


安全问题说到底其实是攻防的问题,智能门锁当然有被攻破的可能。但就像银行也有被抢劫的可能一样,如果黑客攻击智能门锁就像抢银行金库一样难,那这种攻击的成本就太高了。所以从技术方面来说,智能门锁的安全性是可以保障的。”张东胜说。


安装服务是保障用户体验的重要一环


2016年,智能门锁发展进入快车道。数据分析机构易观调查称,智能门锁在中国的渗透率约为3%,远低于韩国80%的渗透率,还有较大的成长空间。尤其是C 端用户市场,正处于爆发前期。


云丁科技方面的数据从侧面提供了印证。据中新网报道,鹿客Touch版在今年3月底上线众筹,5小时销售额突破千万元人民币,这创下了智能门锁类目众筹破千万的最快纪录。10月19日,鹿客Classic在米家有品平台4小时5000台售罄。仅仅半个月后的11月11日当天,鹿客Classic全网销售额突破2000万。


对智能硬件来说,除了设计和算法,安装和维护服务也是保障用户体验的重要一环。张东胜说,从目前的反馈来看,智能门锁最常见的并不是蓝牙连接、黑客攻击等技术安全问题,反而是把手卡顿、门锁变形等物理安装问题。


“有些厂商认为这个东西卖出去就跟我无关了,我们不这么看,良好的售后体验非常重要,用户在遇到问题的时候肯定很烦,但我们的售后团队肯定会尽力帮助他们解决问题。”张东胜介绍,为了保障服务质量,云丁科技现已建立起覆盖全国100多个城市、200多人的专门团队,从安装流程、安装标准等方面进行统一的培训和管理,并提供全年无休的7×24小时客服响应服务,售后安装师傅在3小时之内上门,每月的安装量可达到万台左右。


lock.jpg


谈到智能门锁的发展趋势,他预计,智能门锁或可接入智能家居系统,联合能进行人脸识别的智能猫眼等设备,提升用户的开锁体验。


但是,更智能、更便捷的服务,往往意味着要收集更多的用户个人信息作为支持。尤其在法律没有明确规范的情况下,超范围收集用户信息已成互联网产业的常态。对此,张东胜坦言,从公司的角度来说,确实收集的信息越多越好,但云丁科技坚持的是只有数据能给用户带来价值才会获取,而不是对企业或者商业有价值,要不就不获取。


未来,智能家居是否会让每个人都变成毫无隐私的透明人?在张东胜看来,要给用户充分的知情权和选择权。“每个人的接受程度不同。如果用户介意,他当然可以选择不用。你要给他选择。”张东胜说。


采写:南都记者 冯群星


本文版权归南方都市报社所有,且为未见报内容。欢迎转发分享给朋友。未经许可,禁止转载。如需获得转载授权,请点击购买授权

阅读 1898718
热门评论
打开南都自媒体,查看全部评论>>