智能门锁比你想的更不安全

物联网 给我们的未来很美好，但总是被忽略的一个问题是安全。在本周的 DEF CON大赛上，两位研究人员 Anthony Rose和Ben Ramsey再次向我们展示了这一点， 他们轻易就黑进了12款BLE蓝牙智能门锁 。

他们发现，一些设备直接用明文存储密码，比如 Quicklock和iBluLock的锁。任何拥有蓝牙分析仪的人都能轻易入侵这些设备。还有一些锁易受重放攻击（ replay attacks），这意味着入侵者能在设备拥有者解锁时通过无线方式获得数据，然后重放这些数据就能开锁。其它一些攻击方式更复杂一些，但同样不算难。

还有其他研究人员也发现了门锁的漏洞，比如August的锁可被从配对的手机中提取出一次性的密钥，可喜的是这一漏洞已经被堵住。

更令人伤心的是，他两在向那些智能锁厂商发出漏洞报告后，仅一家作出了回应，但它没发布补丁。

对众多设备而言，只要攻击者使用不算高端的设备和工具就能破解，Ramsey两人所用的工具就是便宜货，加起来不到200美元。对于门锁这样事关安全的智能产品，最好还是购买品牌厂家的货。