Учасники конференції DEF CON виявили, що 75% смарт-замків з підтримкою Bluetooth відкриті для злому
Учасники конференції DEF CON виявили, що 75% смарт-замків з підтримкою Bluetooth відкриті для злому
На цьогорічній щорічній хакерській конференції DEF CON в Лас-Вегасі дует дослідників зробив приголомшливе відкриття, що приблизно 75 відсотків розумних замків з низьким енергоспоживанням, що працюють на базі Bluetooth, піддаються злому. Однак, мабуть, ще більш тривожним, ніж висновки дослідників, є той факт, що виробники цих замків – такі компанії, як Ceomate, Vians, Quicklock та інші – не надто занепокоєні тим, що їхні продукти містять такі дірки. Враховуючи, що значна частина інновацій у сфері “розумних” будинків спрямована на підвищення безпеки житла, ці знахідки, безумовно, не приваблюватимуть нових клієнтів найближчим часом.
Перебуваючи на конференції DEF CON минулого тижня, інженер-електрик і дослідник розумних будинків Ентоні Роуз (Anthony Rose) взявся за тестування 16 різних смарт-замків з Bluetooth. Разом з партнером по дослідженню Беном Ремсі, дует виявив, що 12 з перевірених замків мали принаймні деяку кількість бездротового доступу при атаці. Крім того, Роуз і Ремсі зазначають, що складність успішного злому кожного продукту була різною, оскільки деякі з них виявилися досить легкодоступними, в той час як інші мали дещо складніший бар’єр для входу.
“Ми вирішили, що знайдемо вразливості в замках Bluetooth Low Energy, а потім зв’яжемося з виробниками, – розповіла Роуз в інтерв’ю Tom’s Guide. “Виявилося, що постачальникам насправді все одно. Ми зв’язалися з 12 постачальниками. Один відповів, і він сказав: “Ми знаємо, що це проблема, але ми не збираємося її вирішувати”.
Очевидно, що така заява викликає особливе занепокоєння, хоча саме фактичні вразливості, виявлені Роузом і Ремсі, є особливо руйнівними для компаній, що беруть участь у дослідженні. З 12 замків, що мають дірки в безпеці, чотири з них охоче відправляли пароль користувача – у вигляді простого тексту – на смартфон, що означає, що тому, хто знає, як обійти Bluetooth-сніффер, не доведеться довго боротися, щоб отримати важливий пароль. Крім того, Роуз і Ремсі повідомили, що моделі дверних і навісних замків Quicklock навіть пропонували надсилати пароль кілька разів, що дозволяло їм змінювати пароль і ефективно відрізати доступ до початкового власника.
“Виробники віддають перевагу фізичній надійності, а не бездротовій безпеці, – додала Роуз. “Наша рекомендація всім, хто володіє одним з таких смарт-замків – вимикати Bluetooth на смартфоні, коли він не використовується”.
Хоча деякі виробники зламаних замків стверджують, що вони шифрують пароль користувача, коли він передається через Bluetooth, Роуз і Ремсі все ж повідомили, що мають можливість витягти пароль з повітря, перш ніж відправити його назад на сам замок. Таким чином, розумний замок розблокує себе сам, без відома власника і без необхідності розшифровувати зашифрований пароль для дослідників.
Так хто ж пройшов тест? На думку пари дослідників, моделі, випущені компаніями August та Kwikset, мали достатній рівень безпеки – тобто, відсутність жорстко закодованих паролів, належне шифрування та двофакторна автентифікація – для того, щоб вважатися певною мірою захищеними. Варто зазначити, що інший дослідник на DEF CON стверджує, що зламав August Smart Lock, так що до псевдо-свідоцтва Роуза і Ремсі слід ставитися з певною часткою скептицизму.
Рекомендації редакції
- Кращі пристрої для розумного будинку на 2022 рік
- Найкращі поради, підказки та писанки про Google Home
- Правда про вуличні гаджети розумного будинку та екстремальні морози
- Чи варто дарувати розумну колонку на свято?
- Arlo Go 2 може вийти за рамки Wi-Fi, і це дійсно круто
- Новини
- Хакери завдали удару по Лас-Вегасу: Black Hat і DefCon
Source: digitaltrends.com