一個(gè)公開的秘密是，物聯(lián)網(wǎng)（如果我們非要這樣稱呼它的話）是非常糟糕的，在技術(shù)標(biāo)準(zhǔn)、互操作性和安全性方面都是如此。雖然我們不期望智能燈泡或智能咖啡機(jī)有多好的安全保障，但智能門鎖就另當(dāng)別論了，它們不應(yīng)該被輕易破解。

在今年的 DEF CON 黑客大會(huì)上，兩場不同的演示傳達(dá)了一則清晰的訊息：在開始能夠信任普通的智能門鎖之前——甚或那些比較高端的（如果你非得選一個(gè)的話，高端的還是更好一些）——我們還有很長的一段路要走。這可能會(huì)讓你大吃一驚，或者你多年來一直都在強(qiáng)調(diào)這個(gè)事實(shí)。不管怎樣，這些黑客有理有據(jù)地證明了這一點(diǎn)。

來自 Merculite Security 的安東尼·羅斯（Anthony Rose）和本·拉姆齊（Ben Ramsey）向我們展示了一些破解智能門鎖的技術(shù) ，他們所使用的工具是價(jià)格不到 200 美元的現(xiàn)成硬件。有些門鎖比另一些更容易打開，但到最后，16 只鎖中有 12 只被成功破解。

Quicklock、iBluLock 和 Plantraco 出品的智能門鎖以明文形式傳輸密碼，任何會(huì)使用藍(lán)牙嗅探器的人都能輕易破解。對(duì)于其他一些門鎖，攻擊者在合法用戶解鎖時(shí)竊取了數(shù)據(jù)，并用這些數(shù)據(jù)騙開了門鎖。還有一款智能門鎖在接收到存在差一錯(cuò)誤的加密字符串之后，它會(huì)進(jìn)入錯(cuò)誤狀態(tài)，并默認(rèn)打開門鎖。

值得一提的還有：當(dāng)羅斯和拉姆齊進(jìn)行無線駕駛攻擊（wardriving）實(shí)驗(yàn)時(shí)，他們發(fā)現(xiàn)很多智能門鎖都對(duì)外廣播自己的身份，使得攻擊者非常容易使用設(shè)備監(jiān)聽它們。

這些智能門鎖的整體表現(xiàn)實(shí)在糟糕至極，但有一些產(chǎn)品頂住了羅斯和拉姆斯的攻擊嘗試：Noke 和 Materlock 的智能掛鎖幸存了下來，Kwikset Kevo 的產(chǎn)品也做到了——直到羅斯和拉姆齊用螺絲刀打開了它們。好吧，那屬于作弊，但意思就是這個(gè)意思。

也許最令人擔(dān)憂的是，羅斯和拉姆齊把這些安全漏洞告知給了那 12 家智能門鎖廠商，但其中只有一家做出了回應(yīng)——饒是如此，該廠商也沒有修復(fù)問題的計(jì)劃。

Merculite 未能破解的一款智能門鎖由 August 出品，跟其他廠商（MasterLock 除外）相比，這是一個(gè)更加知名的智能門鎖品牌。幸運(yùn)的是，其他人把破解它當(dāng)成了自己的使命。

Jmaxxz 富有娛樂性和充斥大量流行文化符號(hào)的演示戳破了 August 所作聲明中的很多謊言，雖然普通的梁上君子不大可能費(fèi)心去規(guī)避證書鎖定和挖據(jù)日志信息，但 August 智能門鎖的安全漏洞是真實(shí)存在的。

很多難以使用普通入侵手段（比如嗅探器）獲得的信息……可以在日志和諸如此類的地方找到明文記錄。Jmaxxz 是那種不喜歡多費(fèi)不必要力氣的黑客之一——他又何必呢？

在 August 的產(chǎn)品中，有一些好的做法，也有一些壞的做法——Jmaxxz 提到，August 值得贊賞的地方是，他們回應(yīng)積極，很多這些漏洞現(xiàn)在可能已經(jīng)得到修復(fù)。盡管如此，一件難以置信的事情是，客人只需要改動(dòng)智能門鎖 API 中的一個(gè)字符串——從“用戶”改為“超級(jí)用戶”——他們就能獲得更多的門鎖權(quán)限。

目前看來，這些智能門鎖長于便利性，但短于安全性。如果你不介意池邊小屋或岳母房子擁有較差一些的安全保障，那么智能門鎖是減輕鑰匙串重量的不錯(cuò)選擇——但對(duì)房屋的前門來說，你應(yīng)該得到更好的保護(hù)。