我们都喜欢购买最新和最伟大的科技玩具。在曾经是无聊和可预测的产品上获取新的和新颖的功能很有趣;原始BeBox(许多)的绘制是一层“Das Blinkenlights.“在前面。但有时,最新功能并不总是最大的功能。有时,有些事情根本不应该在互联网上。对于有关隐私的读者,或者是谁只是不想引入他们的技术维护程序的额外麻烦,我们介绍了我们系列的第一个进入“请不要买这个”。今天的功能:智能锁。
很酷的新事物
最近,亚马逊宣布结合各种智能锁,网络连接的安全摄像头以及由音乐会工作的家庭服务提供商网络的新服务,以允许远程访问您的家。忽略允许由未发表的标准无监督访问审查的第三方承包商的问题,让我们看看为什么智能锁可能不是最好的购买。
亚马逊的计划实际上适用于三种不同现有的智能锁产品,看到这里。
“智能锁定”是一点覆盖各种技术的一个量词,所以亚马逊锁依赖于什么,以及这些技术的安全漏洞包括什么?这是一个谜,因为亚马逊销售页面不包括该信息,也不包括“技术规范“其中一个制造商的页面。
我们可以推动的是这些锁需要可更换电池,而且至少有一个为用户提供Wi-Fi接入。虽然允许远程解锁而不需要任何个人身份验证显然是一个非常糟糕的主意,但其他一些智能锁已经尝试了一种更安全的方法蓝牙低能量,这为原始协议没有提供了一些额外的安全功能。
不幸的是,虽然协议本身拥有一般良好的安全性概况,但锁定制造商推出的实施和相关的伴侣应用并不是那么好。在去年的战备状态测试中在美国,16个智能锁模型中有12个在持续攻击下失败。这些失败大多与加密实现或相关应用程序中的劣质代码有关。
为什么它没有看起来那么酷
抛开安全设计和实施差,“智能”设备,如这些设备往往会带来模糊的法律边界,周围的所有权和维护。去年,家庭自动化枢纽一个叫Revolv的公司被关闭了在收购期间。设备已被禁用,而不是简单地无法提供更新。
这对用户来说很不方便,但如果它是你的前门呢?考虑到目前手机操作系统的分裂状态,如果一家锁公司拒绝提供安全更新,会不会让人感到惊讶呢?我们没有找到任何信息,包括新的亚马逊兼容锁是如何更新的,授权送货人员将如何与锁互动,以及是否有任何第三方可以访问锁和/或相关手机应用程序传递的数据。
这些是关于任何设备的问题。但是,当该设备提供访问您的家庭时,对设备的底层技术相当多的透明度应该是强制性的。
锁定它
物理止栓也有安全缺陷。但止血有标准化设计,常见的标准它们可以被评估,可以被任何人修复或替换,并且明确地属于你。智能锁的EULA也能这么说吗?如果满足以下条件,智能锁可以达到可接受的购买状态:
- 独立的,全行业安全标准的设计
- 独立的代码审核
- 没有Wi-Fi
- 工业标准加密的常规实现
- 无第三方数据存储
- 正确的修复
在智能锁达到这些标准之前,我们恭敬地建议……请不要购买这个。
评论