Мы всегда переживаем за сохранность имущества, будь то велосипед, оставленный возле магазина или автомобиль в гараже. И чего только не придумают люди для обеспечения должного уровня безопасности, начиная с сигнализации и установки камер видеонаблюдения и заканчивая высокотехнологичными устройствами нового поколения, почетное место среди которых занимает «умный» замок. Но так ли он надежен? Большинство навороченных гаджетов имеет серьёзные уязвимости, которых совершенно лишен даже самый обычный навесной замок.
Содержание:
Взлом специальной NFC-меткой
К сожалению, далеко не все smart-замки отличаются высокой надежностью, наглядным примером чего стал «умное» устройство для чемоданов eGeeTouch. Для его взлома можно использовать приложение на смартфоне либо специальную NFC-метку. Последняя является «пассивным» устройством, работающим без питания.
Для активации она должна попасть в определенный диапазон. При этом сама по себе метка не может передавать данные, поскольку ее используют для передачи информации на «активное» устройство.
В итоге получается, что такая защита практически бесполезна. Для взлома чемоданного замка уже давно существуют универсальные ключи, которыми легально пользуются сотрудники американской службы безопасности. Мало того, приобрести последние можно любому человеку на AliExpress, причем за копейки.
Идентификация пароля через облачные сервисы
Для обнаружения геолокации места установки потенциальному взломщику хватит данных с облачного сервера. Большинство компаний не заботятся о должной конфиденциальности своих пользователей, поэтому заполучить эту информацию будет довольно легко.
Для хакера не составит особого труда вмешаться в процесс обмена данными между приложением на смартфоне и замком, подделав некоторые сообщения.
Помимо прочего, злоумышленники могут получить пароль, что называется, из первых уст. Такое может произойти, если он прослушивает облачный сервер в тот момент, когда владелец отправляет команду на открытие. Таким образом, вор может повторить команду в любое время, заполучив доступ к чужому имуществу.
По возрастающему ID
Греческий специалист Вангелис Стикас тестировал замки компании Tapplock. Во время исследований он обнаружил, что АРI-сервер производителя разглашает пользовательские данные. Для злоумышленника с хорошими компьютерными навыками эта информация поможет отыскать местоположение устройства и даже разблокировать его.
Вангелис продемонстрировал, что для взлома понадобится всего лишь аккаунт Tapplock и пользовательский ID. С помощью этих данных легко пройти аутентификацию, взять в свои руки управление «умным» устройством. Стоит заметить, что разработчики не используют HTTPS, напрочь забыв о безопасности своего бэкэнда.
Благодаря такой халатности хакеру даже ничего не придется взламывать: номера ID присваиваются аккаунтам по нарастающей схеме. Кроме того, API совсем не ограничивает количество обращений, что позволяет злоумышленникам черпать информацию до бесконечности.
MAC-адрес устройства
Совсем недавно исследователи фирмы Tripwire протестировали замок UltraLoq. В результате обнаружилось, что устройство может открыть кто угодно. Если злоумышленник сможет получить данные с облачных серверов (ключ для открытия, локальный МАС-адрес устройства, IP адрес, адрес электронной почты пользователя), то ему не составит особого труда физически отыскать место установки замка, спокойно открыв его.
Злоумышленнику достаточно узнать МАС-адрес замка, после чего заполучить электронный «ключ» уже будет проще простого.
Этот адрес представляет собой уникальный идентификатор, которым оснащено каждое устройство, имеющее доступ в интернет. Устройство транслирует его с помощью Ethernet, WiFi, Bluetooth и прочих сетевых протоколов. МАС-адрес можно сравнить с маячком, который постоянно мигает и выдает свое местоположение.
Против лома нет приема
Все вышеперечисленные примеры говорят о том, что электронные замки разрабатываются как потребительские устройства, поэтому о защите от физических воздействий и речи не идет. Взломать «умное» устройство с применением отмычки, отвертки и болтореза очень даже просто.
С обычными замками все иначе: корпус делают из цельного куска металла, все винты скрываются внутри. Чтобы сломать такой замок, понадобится либо много времени, либо много шума.
Большинство навесных «умных» замков сделано из пластика. Их легко разбить, сжечь или разобрать по частям, как детскую машинку. И никакие пароли, и отпечатки пальцев уже не смогут уберечь имущество от кражи.
Вывод напрашивается сам собой – перед приобретением «умного» замка следует хорошенько подумать. Стоит ли тратить свои кровные на столь сомнительную безопасность?
(Пока оценок нет)
Загрузка...