前不久，在拉斯維加斯的2015黑帽子大會上，Cognosec 公司發布了一篇論文，指出在 ZigBee 協議實施方法中的一個缺陷。該公司稱該缺陷涉及多種類型的設備，黑客有可能以此危害 ZigBee 網絡，“接管該網絡內所有互聯設備的控制權”，隨意操控聯網門鎖、報警系統，甚至開關燈泡等。

　　近日，作為為消費、商業和工業應用領域創建開放式全球物聯網標準的非營利性組織，國際ZigBee聯盟就該問題給予了回應。ZigBee聯盟認為，ZigBee聯盟及成員開發協議充分考慮了設備互動性、易用性和安全性的平衡點，即以最小的暴露風險來提供最好的“智能”功能。而黑帽子大會上涉及的ZigBee安全漏洞是一個在單節點初始化時的小漏洞，入侵該小漏洞需要懂得豐富的專業知識和設備，只有安全團隊可以做到。

　　ZigBee聯盟還表示，鼓勵各方組織把他們的發現帶進開發討論，進而在智慧家庭的發展中提高用戶體驗和信心。ZigBee技術是由一些全球最為成功的公司所創建的協議，所有這些公司都會關注最新的安全方案。ZigBee聯盟成員的技術工作組一直在積極審查ZigBee安全框架，尋求業界最佳方法，來保持走在不斷演變的安全威脅之前。

　　以下是官方聲明中英全文：

　　ZigBee聯盟及其成員開發標準和協議是建立在一個適當的平衡點之上的，它綜合考慮了設備的安全互動以及易用性，并以最小的暴露風險來提供最好的“智能”功能。

　　我們很清楚黑帽子此次推出的報告。報告描述的是一個在單節點初始化時的小漏洞，發生在用戶開箱加網（當用戶安裝新設備）或者當一個設備跟父節點失去連接重新加網的時候——通常這意味著幾毫秒的密鑰交換。入侵該小漏洞需要懂得豐富的專業知識和設備，不可能發生在安全團隊之外。

　　安全性必須要與應用保持一致，其方案由手頭可利用的資源所決定。當一個燈泡既沒有鍵盤也沒有顯示器的時候，要給它輸入16位密碼是非常困難的。而如果一個方案太昂貴，太難安裝，或者太耗時，消費者是不會用它的。

　　ZigBee技術由一些全球最為成功的公司所創建，所有這些公司都會關注最新的安全方案。ZigBee聯盟成員的技術工作組一直在積極審查ZigBee安全框架，尋求業界最佳方法，來保持走在不斷演變的威脅之前，因此我們歡迎這種開放標準團隊的分析。

　　The ZigBee Alliance and its members take security very seriously. Our members develop standards and protocols to strike the appropriate balance between ease of use and secure interaction of devices to afford the greatest ‘smart’ functionality with the least exposure.

　　We are aware of the report promoted from Black Hat， The risk described is small regarding a singular point in the initial， out-of-the-box joining （when the homeowner is installing a new device） or when a device is re-joining the network after losing contact with its parent – which is a few milliseconds of key exchange. The hack requires substantial knowledge and equipment and is unlikely to occur outside of the security community.

　　Security has to fit the application， and schemes are dictated by the resources at hand. It is very hard to enter a 16-digit passphrase into a light bulb when there is no keyboard or monitor. If a scheme is too expensive， too difficult to install， or too time-consuming – consumers won’t apply it.

　　ZigBee technology is created and implemented by some of the most successful companies in the world， all of which have access to the latest security schemes. Members of ZigBee Alliance technical working groups actively review the ZigBee security framework as well as industry best practices to stay ahead of evolving threats， and therefore welcome this type of analysis as an open standards community.

　　關于ZigBee技術及ZigBee聯盟：

　　ZigBee技術是一種近距離、低復雜度、低功耗、低速率、低成本的雙向無線通訊技術，主要用于距離短、功耗低且傳輸速率不高的各種電子設備之間進行數據傳輸以及典型的有周期性數據、間歇性數據和低反應時間數據傳輸的應用。

　　ZigBee聯盟是為消費、商業和工業應用領域創建開放式全球物聯網標準的非營利性組織，在全球擁有成員公司400多家，覆蓋芯片供應商，設備制造商，電視、電信運營商，認證機構，大型零售集團等產業鏈的各個環節，在智能家居乃至整個物聯網行業具有重大影響。董事會成員包括恩智浦半導體、康卡斯特有線、飛思卡爾半導體、艾創、克羅格、蘭吉爾、羅格朗、飛利浦、施耐德、芯科、德州儀器、物聯傳感（亞洲區唯一董事會成員）、SmartThings等13家全球知名企業。

【瘋PK】黑客要黑進ZigBee智能家居，你怎么看？