近期,北京市、天津市、河北省三地消费者协会委托中国家电研究院对网售智能门锁开展了比较试验。

据了解,此次比较试验主要针对的是与智能门锁相关的安全和可靠性项目,包括电磁兼容性试验、环境试验、IC卡解锁试验、指纹解锁试验、密码逻辑安全试验、电路非正常等试验及APP解锁存在风险等7项测试项目。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(1)

此次比较试验样品,由消费者协会工作人员以消费者身份通过京东商城、天猫商城、苏宁易购、1号店、三星官网等电商平台随机购买,涉及28个品牌的38把样品,购买价格从790元到3700元不等。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(2)

测试项目及依据↑

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(3)

样品来源↑

实验结果显示,38把智能门锁样品中,8把样品电磁兼容试验存在异常反应;6把样品极低温环境下无法解锁;24把样品的IC卡钥匙可被破解复制;14把智能门锁样品宣传具有活体指纹功能,实测并不具备此功能,涉嫌虚假宣传;32把样品可用制作的假指纹解锁;30把样品可靠性差。

7种对比实验

找出可靠门锁

电磁兼容性(EMC)试验

该项目的为测试智能门锁应对其他产品的干扰能力。

实验显示,在3V/m强度下,38把样品均没有异常情况发生;在10V/m的强度下,38把样品中有忠恒(X5)、玥玛(NBZNMSP002)、卡贝(CX8345-22)、TCL(A18-E6C)、普鑫五金(ZW8508)、玥玛(FP-W501)、樱木(A8)、卡迪龙(KE306A)8把发生异常报警等现象,但均未出现意外解锁情况,干扰停止后门锁恢复正常工作。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(4)

此外,通过对样品进行“小黑盒”干扰试验,结果表明,“小黑盒”贴近门锁样品后样品屏幕会被点亮,“小黑盒”靠近的按键会识别被按下,但38把样品均没有异常解锁现象。

“小黑盒”实质是一个特斯拉线圈,场强达到95dBuv以上。俗称的“小黑盒攻击”则是指,当给智能门锁施加强电磁场情况下,门锁可以出现故障报警、系统锁定、电路损坏等现象。

环境试验

经测试,在-20℃低温和40℃高温的环境下,所有门锁均可正常工作。

而在-40℃低温的环境下,有卡贝(CX8345-22)、名门(EZ0707YR-ET-R)、鹿客(DSL-C07A)、意利原子(兰博基尼1号)、樱木(A8)、英家皇室(8091)6个品牌的门锁样品出现问题。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(5)

IC卡解锁试验

现阶段的智能门锁一般都会配备IC卡,在本次比较试验涉及的38把智能门锁样品中,有26把为IC卡解锁。

测试结果显示,包含忠恒(X5)、箭牌(628)、固特(1802)等共24款样品的IC卡可被破解。现阶段,大多数智能门锁用的IC卡加密机制比较差,很容易通过手机或者电脑破解并复制,造成风险隐患。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(6)

指纹解锁试验

本次比较试验的38把智能门锁样品中,有36把带有指纹模块。经测试,包含固特(1082)、金点原子(JD-Z1)、凯迪仕(5155Alock)在内共14把门锁样品宣称是检测活体指纹,对假指纹可以进行防护,但当使用假指纹进行试验时,都可以被解锁,这与销售网页宣传的检测活体指纹不符。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(7)

而36把样品中只有多灵(9002X1)、TCL(A18-MR12)、普鑫五金(ZW8508)、360(智能K1)4个样品使用制作指纹测试无法解锁,安全性较好:

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(8)

密码逻辑安全试验

通过虚位密码长度、密码有效长度、允许输入错误密码次数和锁屏时间4个方面对38把智能门锁样品进行横向比较,包含箭牌(628)、顶固(SF3100)、顾乐(6802)等共16款门锁样品表现优异。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(9)

此外经测试,38把智能门锁样品中,有27把可以通过室外操作进入管理员模式(消费者可以在此模式下进行添加或删除指纹、密码、IC卡等操作),在验证管理员密码时,支持虚位密码的操作,使得密码的安全性下降。其他11把智能门锁样品,需要在门内侧按下专门按键或者通过APP进行管理员操作,安全性相对较好。

电路非正常试验

实验表明,其中30把智能门锁样品在单重故障条件下出现解锁异常或上锁异常的情况,其余鹿客(DSL-C07)、鹿客(DSL-C07A)、意利原子(兰博基尼1号)、三星(SHP-DP728)、三星(h505)、海尔(U5)、海尔(HL-31PF3-U)、美的(M1)共8把智能门锁样品在此条件下不受影响,可靠性较好。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(10)

APP解锁存在风险

经测试,APP主要是通过蓝牙连接、WiFi直连、网关连接、微信小程序4种方式连接智能门锁。部分门锁可以通过APP分享临时密码。在测试时发现有一些门锁不通过联网即可生成临时密码,这种情况常见于使用微信小程序,将加密算法分别固化在门锁和微信小程序里,在实际使用过程中,临时密码被破解的风险较高。

发布技术规范

提出消费建议

根据本次比较试验发现的风险,结合智能门锁的其他特点,北京市消费者协会与中国家电研究院等单位起草并发布了团体标准T/CAS 352-2019《智能锁智能水平评价技术规范》,以规范企业生产行为,促进行业质量水平有效提升。同时,向消费者提出消费建议:

1、本次比较试验购买的的智能门锁样品对高强度磁场干扰已经有解决策略,消费者无需担心“小黑盒”对于智能门锁的安全性的影响。

2、生活在高纬度或火炉地区的消费者需要特别注意选购应对极端气候的智能门锁产品,建议厂家在产品外包装和说明书上详细标注适用温度范围,以方便消费者选购。

3、建议选购带有半导体指纹识别技术的智能门锁产品,安全性高于光电式指纹门锁;同时建议厂家适度宣传,不要过度宣传活体指纹。

4、选择具有虚位密码的智能门锁产品,使用过程中设置多位密码,并且在首次安装智能门锁后,修改默认密码。

5、建议携带智能门锁IC卡时要谨慎,不要挂到他人易触碰的位置。保险起见,可以关闭智能门锁的IC卡解锁功能,尽可能减少利用复制的IC卡解锁的风险。

6、在使用指纹解锁功能时,需要注意指纹模块上是否有异物,需要定期进行擦拭,防止指纹残留,被不法分子窃取。

7、如果不经过与智能门锁联网即可生成临时密码,则应尽量避免使用此功能。

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(11)

京津冀消协智能门锁比较试验结果汇总

红星新闻记者 陈应鹏

部分图据央视财经频道视频截图

编辑 张超

智能门锁遭秒开(被小黑盒破解假指纹能开锁)(12)

,