DOBERMANN
Гай Ричи
MrLoot
Konstrukt
Frank Vinci
atmservice
probiv
atmservice

СМИ Умные замки KeyWe можно открыть благодаря уязвимости, которую нельзя исправить

YandexPoisk

Заблокирован
Заблокирован
Проверенный продавец

YandexPoisk

Заблокирован
Заблокирован
Проверенный продавец
Статус
Offline
Регистрация
16 Авг 2018
Сообщения
345
Реакции
6
Покупки через Гарант
0
Продажи через Гарант
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Эксперты F-Secure предупредили о небезопасности умных дверных замков KeyWe. Злоумышленники могут использовать уязвимости в замках для перехвата ключей и разблокировки дверей.
Устройства KeyWe, успешно собравшие финансирование через Kickstarter, используются преимущественно в частных домах. С помощью этих замков и специального приложения для них пользователи могут дистанционно управлять открыванием и закрыванием дверей, а также могут использовать для этих целей специальный браслет с NFC и клавиатуру на самом устройстве.
Исследователи F-Secure обнаружили, что коммуникации между замком и приложением никак нельзя назвать защищенными. Причем сам по себе замок оказался вполне надежен, равно как и шифрование (AES-128-ECB со случайным префиксом 2B), которое используется для предотвращения неавторизованного доступа к критически важной информации, вроде парольной фразы. Но уязвим оказался процесс генерации ключей.
Для связи с приложением устройства используют Bluetooth Low Energy, и общий ключ не меняется при каждом запуске, он меняется в зависимости от адреса MAC-адреса устройства. Аналитики объясняют, что это крайне серьезная ошибка, так как общий ключ, зависящий от адреса устройства можно с легкостью вычислить. Хуже того, для создания защищенного канала связи используются только два фактора: общий ключ, используемый для инициации процесса обмена ключами, и отдельный процесс расчета ключа приложения/замка.
В итоге для перехвата и расшифровки парольной фразы, передаваемой со смартфона замку, исследователям понадобился лишь простой BLE-сниффер за 10 долларов и Wireshark. Исследователи отмечают, что такой сниффер можно попросту спрятать неподалеку от двери, и дождаться, когда пользователь будет взаимодействовать с KeyWe.
К сожалению, не удастся устранить обнаруженные исследователями недостатки при помощи обычного обновления прошивки, так как эксперты выявили фундаментальные недостатки в самом дизайне устройств, и у замков KeyWe отсутствует функция обновления встроенного ПО.
Хотя корейскую компанию-производителя KeyWe уже уведомили о проблемах, исправить уязвимости инженеры смогут только в новых устройствах, дату выхода которых в компании пока назвать затрудняются. Пока же пользователям рекомендуют открывать замки физически и не прибегать к работе с приложением.
 
Сверху