  前不久,在拉斯维加斯的2015黑帽子大会上,Cognosec 公司发布了一篇论文,指出在 ZigBee 协议实施方法中的一个缺陷。该公司称该缺陷涉及多种类型的设备,黑客有可能以此危害 ZigBee 网络,“接管该网络内所有互联设备的控制权”,随意操控联网门锁、报警系统,甚至开关灯泡等。  近日,作为为消费、商业和工业应用领域创建开放式全球物联网标准的非营利性组织,国际ZigBee联盟就该问题给予了回应。ZigBee联盟认为,ZigBee联盟及成员开发协议充分考虑了设备互动性、易用性和安全性的平衡点,即以最小的暴露风险来提供最好的“智能”功能。而黑帽子大会上涉及的ZigBee安全漏洞是一个在单节点初始化时的小漏洞,入侵该小漏洞需要懂得丰富的专业知识和设备,只有安全团队可以做到。  ZigBee联盟还表示,鼓励各方组织把他们的发现带进开发讨论,进而在智慧家庭的发展中提高用户体验和信心。ZigBee技术是由一些全球最为成功的公司所创建的协议,所有这些公司都会关注最新的安全方案。ZigBee联盟成员的技术工作组一直在积极审查ZigBee安全框架,寻求业界最佳方法,来保持走在不断演变的安全威胁之前。  以下是官方声明中英全文:  ZigBee联盟及其成员开发标准和协议是建立在一个适当的平衡点之上的,它综合考虑了设备的安全互动以及易用性,并以最小的暴露风险来提供最好的“智能”功能。  我们很清楚黑帽子此次推出的报告。报告描述的是一个在单节点初始化时的小漏洞,发生在用户开箱加网(当用户安装新设备)或者当一个设备跟父节点失去连接重新加网的时候——通常这意味着几毫秒的密钥交换。入侵该小漏洞需要懂得丰富的专业知识和设备,不可能发生在安全团队之外。  安全性必须要与应用保持一致,其方案由手头可利用的资源所决定。当一个灯泡既没有键盘也没有显示器的时候,要给它输入16位密码是非常困难的。而如果一个方案太昂贵,太难安装,或者太耗时,消费者是不会用它的。  ZigBee技术由一些全球最为成功的公司所创建,所有这些公司都会关注最新的安全方案。ZigBee联盟成员的技术工作组一直在积极审查ZigBee安全框架,寻求业界最佳方法,来保持走在不断演变的威胁之前,因此我们欢迎这种开放标准团队的分析。  The ZigBee Alliance and its members take security very seriously. Our members develop standards and protocols to strike the appropriate balance between ease of use and secure interaction of devices to afford the greatest ‘smart’ functionality with the least exposure.  We are aware of the report promoted from Black Hat, The risk described is small regarding a singular point in the initial, out-of-the-box joining (when the homeowner is installing a new device) or when a device is re-joining the network after losing contact with its parent – which is a few milliseconds of key exchange. The hack requires substantial knowledge and equipment and is unlikely to occur outside of the security community.  Security has to fit the application, and schemes are dictated by the resources at hand. It is very hard to enter a 16-digit passphrase into a light bulb when there is no keyboard or monitor. If a scheme is too expensive, too difficult to install, or too time-consuming – consumers won’t apply it.  ZigBee technology is created and implemented by some of the most successful companies in the world, all of which have access to the latest security schemes. Members of ZigBee Alliance technical working groups actively review the ZigBee security framework as well as industry best practices to stay ahead of evolving threats, and therefore welcome this type of analysis as an open standards community.  关于ZigBee技术及ZigBee联盟:  ZigBee技术是一种近距离、低复杂度、低功耗、低速率、低成本的双向无线通讯技术,主要用于距离短、功耗低且传输速率不高的各种电子设备之间进行数据传输以及典型的有周期性数据、间歇性数据和低反应时间数据传输的应用。  ZigBee联盟是为消费、商业和工业应用领域创建开放式全球物联网标准的非营利性组织,在全球拥有成员公司400多家,覆盖芯片供应商,设备制造商,电视、电信运营商,认证机构,大型零售集团等产业链的各个环节,在智能家居乃至整个物联网行业具有重大影响。董事会成员包括恩智浦半导体、康卡斯特有线、飞思卡尔半导体、艾创、克罗格、兰吉尔、罗格朗、飞利浦、施耐德、芯科、德州仪器、物联传感(亚洲区唯一董事会成员)、SmartThings等13家全球知名企业。

