智能锁并不安全

智能锁并不安全 – 安全意识博客Skip to content

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟，研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”，该公司确认了这个安全漏洞，并称其准备发布一项“重要的安全补丁”。

据称，不需要什么技术或知识，任何拥有智能手机的用户，都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题，设备的解锁键很容易被发现，因为它是由锁的蓝牙低能量ID广播而生成的。

另外，安全锁可以通过智能手机进行管理，因此也可以被远程打开，让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间，以便其纠正这一安全问题，然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告，以便及时更新APP，修复安全漏洞。

这起事件之所以能够发生，原因并不意外。

粗心大意，不仔细，自由散漫，缺乏对安全威胁的敏感度。

为什么这么说呢？

高科技公司制造指纹安全锁，从名字上看，似乎是可以提升安全性的，但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞，这不是好笑么？为什么其他安全人员都能在45分钟内想到破解方法，而科技公司里大把人，很长时间却没有认识到呢？他们没有足够的发现安全问题的天赋？没有这么简单，别人一指出问题，他们就理解了，说明他们并不笨，而是他们不够尽心，不够尽职尽责！

从这起事件中，我们能得到什么安全教训呢？

及时修复安全漏洞（弱点），降低被他人恶意攻击和利用的机会。

看到这则新闻，国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾，同时也表示：纯民间的漏洞平台控管不够，对于国家安全是一项威胁，这是不争的事实。重点在于很多安全弱点需要被及时发现，并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放，而安全专家们也出于对自身的保护，不愿向官方提供自己的发现。这就让很多被国内安全人员们（及黑客们）探测出来的系统漏洞不能被及时通报、修复和公开，而被一波一波地私下利用。

最后，让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代，各种联网小玩艺儿越来越多，中国创制的ioT设备安全问题更是不容忽视。因为总体来说，比起英国来讲，我国工业化和信息化起步较晚，国民普遍的安全意识更为落后，中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性，并不仅仅是培训一些设计研发人员就可以搞定的，这是一项关系到全民安全素质的工程，需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升，欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机/微信：18206751343

邮箱：[email protected]

QQ：1767022898

相似的文章 Similar Posts:

• 系统未能发现相似文章 None Found