智能門鎖發展產業現狀

2020年11月18日，為貫徹中共中央“十四五規劃和二〇三五遠景目標建議”精神，落實構建以國內大循環為主體、國內國際雙循環相互促進的新發展格局的戰略指導方針，推動制鎖行業高質量發展，中國五金制品協會和中國日用五金技術開發中心發布《關于召開全國智能鎖行業質量提升行動發布會暨全國制鎖行業第二十九次信息交流會的通知》。交流會與發布會分別于2020年12月15日上午和下午召開，會議由國家市場監管總局質量發展局、中國五金制品協會指導。

20多年來，智能門鎖作為傳統制造業與新興電子信息產業結合而衍生出的新興產品類別，逐漸進入消費者的視野。尤其是2015年以來，隨著智能家居、移動互聯網的高速發展，智能門鎖作為智能家居入口級產品受到了消費者的高度青睞。據中國日用五金技術開發中心2020年發布的《智能門鎖產業現狀及展望》，截止至2019年，智能門鎖全國的產銷量近1500萬套，五年間翻了超過十倍，是鎖具行業轉型升級發展絕對意義上的主力軍。

國內智能門鎖的產品類別基本涵蓋了鎖具產品的全部類別，成為了引領我國傳統鎖具行業轉型升級的主流產品。消費者以期通過智能門鎖加強其生命財產的安全，改變其生活方式。在國外市場也不例外，智能門鎖逐步成為國外門鎖市場的主流產品。據制鎖行業信息中心數據顯示，2019年，歐美智能門鎖的市場滲透率已接近50%，韓國高達近80%，日本近40%。

互聯網、家電、智能家居、安防產業、專業智能門鎖、機械鎖轉型、裝飾五金等都依據自身優勢進入智能門鎖產業當中，且隨著人工智能的快速發展、消費者消費水平的提高及智能家居概念的日益普及，智能門鎖的發展也呈現出百花齊放的發展局面。但智能門鎖產業的品牌發展仍然處于初期階段，雖然智能門鎖領域的品牌數量超過了3000家，單品牌格局相對較為分散，尚未有哪個品牌占據絕對意義上的優勢，但在產品外觀設計和功能上卻出現了高度同質化的現象，在沒有研發創新的情況下，一些品牌開始選擇拼成本和價格來擴大其市場競爭力，嚴重阻礙智能門鎖產業的健康發展。隨著發展進程的不斷推進，為促進產業的可持續發展，“安全智能品質消費”的理念被提出，智能門鎖產業進入品牌盤整期，其中，產品的安全性成為主要考量因素，對品牌發展至關重要。

智能門鎖存在安全隱患

智能門鎖功能的多樣化大大方便了人們的生活，出門不再擔心忘帶鑰匙，不用擔心遇到鑰匙丟失就得砸鎖開門的窘境，其附帶的開門短信提醒、智能貓眼、緊急報警等功能也深得用戶青睞。但與此同時，也給智能門鎖帶來了新的安全威脅和隱患，引起了業界與安全界的高度關注。

//特斯拉線圈“三秒開智能鎖”事件

特斯拉線圈“三秒開智能鎖”事件也被稱為小黑盒秒開智能鎖事件，始于2018年5月舉辦的第九屆中國國際門業博覽會上，湖南金麗方科技有限公司的董事長王海麗使用一個“小黑盒”連開國內外品牌智能門鎖，最快用時只有三秒。這段開鎖視頻通過電視媒體、微博、微信等平臺快速傳播，讓一眾智能門鎖用戶膽戰心驚，也讓智能門鎖廠商經受了一場公關危機，引起了大眾對于“智能門鎖是否安全”的思考。

//UItraLoq智能門鎖安全漏洞

UItraLoq智能門鎖是U-Tec生產的一款熱門智能門鎖，在亞馬遜、家得寶和沃爾瑪等大型平臺上銷售。2019年，滲透測試專家Craig Young對該款智能門鎖進行測試后，發現該鎖存在嚴重的安全問題：攻擊者可以通過技術手段物理定位甚至遠程控制連接到智能門鎖供應商云平臺的任何鎖。其中利用MQTT協議可以竊取關聯的U-Tec用戶身份信息，包括IP地址、無線MAC地址和電子郵件地址等。攻擊者還可以截取用戶令牌，進行遠程解鎖，也可通過發送欺騙信息來阻止用戶開鎖，對U-Tec云服務用戶的人身和財力造成了巨大的安全威脅。

//Hickory智能門鎖被披露存在多個安全漏洞

2019年5月，Rapid7安全團隊在對Hickory智能門鎖安全性的研究中發現了多個漏洞，包括安卓移動應用程序中的數據不安全存儲 (CVE-2019-5632)、明文憑據信息傳輸 (CVE-2019-5635)、安卓移動應用程序中開啟了日志調試記錄（CVE-2019-5634)等。這些漏洞一旦被利用，就會造成用戶敏感信息泄露，智能門鎖被操控等情況，令人不寒而栗。

中國評測信息安全測試實踐

隸屬于賽迪研究院的中國軟件評測中心網安中心“2021年智能門鎖信息安全測評樣品征集活動”開展以來，受到來自監管部門、智能家居行業、消費者等社會各界的高度重視。測評過程中，專家組聚焦智能門鎖的信息通信安全和數據安全，采用自動化掃描與人工滲透相結合的技術手段，對智能門鎖的鎖體安全、移動應用APP安全、以及無線電通信安全開展測評工作。

▼

智能門鎖鎖體安全測評項包括：鎖體固件安全、網絡接入認證安全、通信傳輸安全、數據安全以及設備的邏輯控制安全等。針對鎖體固件安全進行了固件指紋信息提取、CVE漏洞檢測、軟件/組件檢測、加密認證文件檢測、用戶密碼檢測、系統服務檢測、脆弱代碼檢測、敏感信息檢測等安全測試。

▼

移動應用APP測評項包括：APP的安裝及卸載安全、身份鑒別機制、訪問控制機制以及數據安全等。針對APP進行了證書指紋檢測、應用組件暴露檢測、文件信息檢測、AndroidManifest文件檢測、Web組件安全、網絡通信安全、弱密碼風險、系統漏洞、So文件漏洞風險檢測、隱私權限檢測、隱私行為檢測等安全測試。測評專家首先通過安全漏洞掃描，發現可能存在的漏洞，然后模擬黑客攻擊手段，進行反編譯、信息分析、中間人攻擊等滲透測試。

▼

在物聯網環境中，終端設備通常采用無線電通信與APP或接入網關建立通信，它們之間的通信安全也是測評重點關注的內容，無線電通信安全測試涵蓋RFID、藍牙、ZigBee、WIFI、NB-IOT等協議，測試內容包括協議分析、數據分析、劫持/篡改/重放攻擊等。

測評過程中發現的主要風險情況見下表：

▼

中國評測相關建議

中國軟件評測中心網安中心從企業、監管部門、消費者、社會其他組織的角度，針對智能門鎖的信息安全防護分別提出建議。

1

企業方面

為自己的產品安全負責，保障消費者財產和人身安全。在產品的安全設計方面，堅持最小化原則，即最小化用戶權限，只賦予完成功能任務的最小權限，其他不必要的權限概不開放，此外，減少不必要的、華而不實的功能，減少攻擊面（如遠程開鎖、在線密碼等功能的不規范授權或使用）；堅持白名單思想，即除了合法定義的其他都不接受，且保障默認的合法定義（如配置和策略）盡可能安全，如用戶口令的長度、復雜度、非法登錄和驗證次數、虛位密碼設置等；堅持算法安全設計，目前的一些私有算法面臨被攻擊者通過抓包或逆向二進制完成破解，或通過入侵服務器、給企業內部人員機器種植木馬獲得源代碼，或算法被惡意公開等安全風險。

在安全責任方面，企業是產品安全第一責任人，須為自己生產和銷售的產品安全負責，嚴格按照《產品質量法》、《消費者權益保護法》、《網安法》等有關規定要求，主動把好產品安全關，設立有自己企業內部專業的安全團隊，進入市場的產品需經過內部安全團隊或第三方安全企業或專業測評機構的全面安全檢測；定期對生產、銷售的產品進行安全隱患排查，及時采取升級軟、硬件等措施，堵住產品安全漏洞；嚴格規范產品標識和說明，不作虛假或引人誤解的宣傳，以顯著易懂的方式提醒安全注意事項，切實維護消費者的合法權益。

2

監管方面

及時完善相關標準，嚴格把好市場關。技術監管方面，由于門鎖與生物識別、主控MCU、密碼鍵盤、通信模塊、云計算等多項現代技術融合，一定程度上可以提高智能門鎖的安全性，但也增加了安全風險暴露面。有關部門需盡快針對這些現代技術研制相關技術標準及應用規范體系，為智能門鎖等智能產品設立合理的安全門檻；建立公共服務平臺，支持面向標準安全合規、軟硬件安全協同、安全互聯互通、用戶體驗、安全可靠等包括智能門鎖在內的智能硬件產品的安全檢測服務。

市場監管方面，需加強監督管理，對發現的安全風險，及時采取相關措施，督促企業整改并進行有效跟蹤，必要時依法對其進行處罰，嚴格把好市場監管關；積極暢通與企業側和消費者之間的溝通機制，及消費者權利合理的維護和變現渠道，維護智能門鎖市場秩序。

3

消費者方面

理性消費，重視產品信息安全。首先，在消費時，選擇適合自己的智能門鎖，不盲目追求各種“新奇”功能；其次，通過正規渠道購買智能門鎖產品，仔細檢查產品包裝是否清晰明確，是否具有合格證、說明書、保修卡等；此外，盡量不使用或關閉遠程開鎖功能，若智能門鎖需使用信息識別卡，日常使用中妥善保管好信息識別卡，防止被非法讀取和復制，若智能門鎖使用指紋識別功能，應在日常使用中注意清除指紋痕跡，避免被惡意“拓印”；在功能模塊出現異常或損壞時，及時聯系生產企業解決或更換新鎖；若遇智能門鎖侵權現象，及時收集好證據，向當地消協或市場監管部門投訴舉報，依法維護合法權益。

4

社會組織方面

協同發力，促進智能產業安全有序發展。產業聯盟和行業協會應倡導企業自律，誠信守法經營，呼吁社會各界加大關注力度，必要時組織相關專項行動，開展團體標準試點，完善與行業標準、國家標準的快速銜接機制，提升產業整體信息安全防護意識和能力；新聞媒體應加強相關風險防范知識的宣傳報道，充分發揮輿論監督作用，客觀報道企業產品存在的安全風險，增強全民健康消費理念。

來源丨中國軟件評測中心