當(dāng)前，WIFI已經(jīng)普及到千家萬戶，也為智能照明產(chǎn)品的使用打下了基礎(chǔ)，包括智能LED球泡燈 、智能路燈控制系統(tǒng)、智能家居入口等領(lǐng)域。

　　盡管使用廣泛，但wifi還存在設(shè)計缺陷、邏輯錯誤、系統(tǒng)/服務(wù)運維配置不當(dāng)、SQL注射漏洞、敏感信息外泄等問題，導(dǎo)致使用WIFI技術(shù)控制的智能照明產(chǎn)品也存在一些安全漏洞，容易遭到網(wǎng)絡(luò)攻擊。筆者為你總結(jié)以下幾點。

　　1、本地網(wǎng)絡(luò)攻擊

　　攻擊者只需要向48899端口發(fā)送UDP數(shù)據(jù)包，即可借助硬編碼的密碼HF-A11ASSISTHREAD使用AT命令。使用AT+UPURL命令可以刷新固件；使用以下AT命令可以讀取WIFI密碼；使用AT+HTTPDT命令及相關(guān)的HTTP命令可以使LED燈按照攻擊者的意愿，讓所在網(wǎng)絡(luò)中的防火墻和NAT發(fā)送請求，發(fā)揮類似于HTTP代理的作用。

　　2、互聯(lián)網(wǎng)遠程控制攻擊

　　LED燈沒有使用身份驗證機制，所以如果攻擊者已知其MAC地址，并且它被設(shè)置成可以接收來自互聯(lián)網(wǎng)的命令時，攻擊者就可以控制該LED燈。

　　由于MAC地址都是按順序分配的，因此，如果攻擊者確定了一個MAC地址就可以限定掃描范圍。因此，攻擊者花費很少的時間就可以控制開啟了“遠程控制”功能的燈泡。

　　3、間接連接攻擊

　　已經(jīng)連接了LED燈的手機搜索遠程設(shè)置時，會發(fā)現(xiàn)該燈的授權(quán)設(shè)備列表，其中包括所有曾經(jīng)授權(quán)連接的設(shè)備，API調(diào)用為GetAuthUserDevice。那么，問題出現(xiàn)了：攻擊者可以借助該授權(quán)列表獲取設(shè)備ID，用于控制其他LED燈。

　　與Wi-Fi相比，ZigBee低功耗和低成本有非常大的優(yōu)勢，在低耗電待機模式下，兩節(jié)普通5號干電池可使用6個月以上。這也是ZigBee的支持者所一直引以為豪的獨特優(yōu)勢。 因為ZigBee數(shù)據(jù)傳輸速率低，協(xié)議簡單，所以大大降低了成本。

　　更重要的是ZigBee提供了數(shù)據(jù)完整性檢查和鑒權(quán)功能，采用AES-128加密算法，確保各個應(yīng)用中信息的安全性。

　　而且ZigBee有大的網(wǎng)絡(luò)容量，每個ZigBee網(wǎng)絡(luò)最多可支持255個設(shè)備，也就是說每個ZigBee設(shè)備可以與另外254臺設(shè)備相連接，這些技術(shù)確保ZigBee具有廣泛的使用領(lǐng)域。

　　根據(jù)ZigBee聯(lián)盟目前的設(shè)想，ZigBee的目標(biāo)市場除了家庭內(nèi)智能照明產(chǎn)品外，還拓展到了消費類電子設(shè)備、、煤氣計量控制及報警、玩具(電子寵物)、醫(yī)護(監(jiān)視器和傳感器)、工控(監(jiān)視器、傳感器和自動控制設(shè)備)等領(lǐng)域。

　　所以，基于ZigBee技術(shù)無線智能照明系統(tǒng)將是智能照明領(lǐng)域未來的發(fā)展方向，廠家、工程師如何把握ZigBee技術(shù)發(fā)展方向，如何獲取客觀真實的ZigBee技術(shù)最新信息，如何解決ZigBee技術(shù)面臨的問題等等。