一個公開的秘密是，物聯網（如果我們非要這樣稱呼它的話）是非常糟糕的，在技術標準、互操作性和安全性方面都是如此。雖然我們不期望智能燈泡或智能咖啡機有多好的安全保障，但智能門鎖就另當別論了，它們不應該被輕易破解。

在今年的 DEF CON 黑客大會上，兩場不同的演示傳達了一則清晰的訊息：在開始能夠信任普通的智能門鎖之前——甚或那些比較高端的（如果你非得選一個的話，高端的還是更好一些）——我們還有很長的一段路要走。這可能會讓你大吃一驚，或者你多年來一直都在強調這個事實。不管怎樣，這些黑客有理有據地證明了這一點。

來自 Merculite Security 的安東尼·羅斯（Anthony Rose）和本·拉姆齊（Ben Ramsey）向我們展示了一些破解智能門鎖的技術 ，他們所使用的工具是價格不到 200 美元的現成硬件。有些門鎖比另一些更容易打開，但到最后，16 只鎖中有 12 只被成功破解。

Quicklock、iBluLock 和 Plantraco 出品的智能門鎖以明文形式傳輸密碼，任何會使用藍牙嗅探器的人都能輕易破解。對于其他一些門鎖，攻擊者在合法用戶解鎖時竊取了數據，并用這些數據騙開了門鎖。還有一款智能門鎖在接收到存在差一錯誤的加密字符串之后，它會進入錯誤狀態(tài)，并默認打開門鎖。

值得一提的還有：當羅斯和拉姆齊進行無線駕駛攻擊（wardriving）實驗時，他們發(fā)現很多智能門鎖都對外廣播自己的身份，使得攻擊者非常容易使用設備監(jiān)聽它們。

這些智能門鎖的整體表現實在糟糕至極，但有一些產品頂住了羅斯和拉姆斯的攻擊嘗試：Noke 和 Materlock 的智能掛鎖幸存了下來，Kwikset Kevo 的產品也做到了——直到羅斯和拉姆齊用螺絲刀打開了它們。好吧，那屬于作弊，但意思就是這個意思。

也許最令人擔憂的是，羅斯和拉姆齊把這些安全漏洞告知給了那 12 家智能門鎖廠商，但其中只有一家做出了回應——饒是如此，該廠商也沒有修復問題的計劃。

Merculite 未能破解的一款智能門鎖由 August 出品，跟其他廠商（MasterLock 除外）相比，這是一個更加知名的智能門鎖品牌。幸運的是，其他人把破解它當成了自己的使命。

Jmaxxz 富有娛樂性和充斥大量流行文化符號的演示戳破了 August 所作聲明中的很多謊言，雖然普通的梁上君子不大可能費心去規(guī)避證書鎖定和挖據日志信息，但 August 智能門鎖的安全漏洞是真實存在的。

很多難以使用普通入侵手段（比如嗅探器）獲得的信息……可以在日志和諸如此類的地方找到明文記錄。Jmaxxz 是那種不喜歡多費不必要力氣的黑客之一——他又何必呢？

在 August 的產品中，有一些好的做法，也有一些壞的做法——Jmaxxz 提到，August 值得贊賞的地方是，他們回應積極，很多這些漏洞現在可能已經得到修復。盡管如此，一件難以置信的事情是，客人只需要改動智能門鎖 API 中的一個字符串——從“用戶”改為“超級用戶”——他們就能獲得更多的門鎖權限。

目前看來，這些智能門鎖長于便利性，但短于安全性。如果你不介意池邊小屋或岳母房子擁有較差一些的安全保障，那么智能門鎖是減輕鑰匙串重量的不錯選擇——但對房屋的前門來說，你應該得到更好的保護。