"PAMETNE" KLJUČAVNICE PRINAŠAJO ENOSTAVNE HACKER TRIKE - TECHCRUNCH - DRUGA - 2019

Anonim

To je odprta skrivnost, da je internet stvari (če ga tako imenujemo) zelo grozno, bodisi v standardih, interoperabilnosti ali varnosti. Seveda ne pričakujete dobre varnosti v pametni žarnici ali kavni avtomat. Pametna vrata za zaklepanje na vratih pa res ne bi smela biti tako enostavna za kramp.

Dve različni predstavitvi v DEF CON letos so jasno pokazali, da je še daleč, preden začnemo zaupati povprečni pametni ključavnici - ali celo lepim (čeprav bi morali izbrati, je to boljše). To vas lahko preseneča, ali ste morda že leta govorili. V vsakem primeru so ti fantje to dokazali z gusto.

Anthony Rose in Ben Ramsey, iz Merculite Security, so pokazali malo zaklepanja, ki je bil storjen z manj kot 200 dolarji, ki je bila brezplačna. Nekateri so se odprli lažje od drugih, vendar so na koncu 12 od 16 pridobili.

Ključi iz Quicklock, iBluLock in Plantraco so prenašali gesla v navaden tekst, zaradi česar so ranljivi za vsakogar, ki ima sniffer Bluetooth. Druge so napadali napadalec preprosto ponovitev istih podatkov, ki so jih izvlekli iz zraka, ko je legit uporabnik odklenil vrata. Drugi je vnesel neuspeli del in se je privzeto odprl, ko je prejel šifriran niz, ki ga je izklopil en bajt.

Upoštevati je treba tudi: delaš nekaj varstva, dva najdeta veliko ključavnic, ki se identificirajo kot taki, zaradi česar lahko napadalcu najde naprave za poslušanje naprej.

To je bilo precej slabo prikazovanje, čeprav je nekaj nasprotovalo poskusom Rose in Ramsey: Noke in Masterlock pametne žabice so preživeli in Kwikset Kevo je storil tudi - dokler ga niso odprli z izvijačem. V redu, to je goljufanje, toda točka stoji.

Morda je najbolj zaskrbljujoč, le eden od dvanajstih prodajalcev, s katerim sta se obrnila, da bi jih obvestila o teh pomanjkljivostih, se je odzvala - in celo takrat ni bilo nobenega načrta za ničesar popraviti.

Tisti, ki mu je Merculite neuspešen, je bila avgustovska vrata za vrata, precej bolj znana blagovna znamka kot ostale (MasterLock, kljub temu). Na srečo je nekdo drug že naredil svojo nalogo, da razbije široko odprto stvar.

Jmaxxzova zabavna predstavitev, ki je bila napolnjena s spominom, je postavila laž več zahtevam, ki so bile predstavljene avgusta, in čeprav je malo verjetno, da se bo vaš povprečni umetnik B & E trudil, da bi se izognili nalaganju in tampionu potrdil skozi vaše dnevnike, so varnostne luknje resnične. Ali pa so bile resnične - hacker ugotavlja, da je bil avgust, za razliko od drugih podjetij, katerih ključavnice so bili vdori, odziven in vsaj nekateri so bili odpravljeni. (Zastopnik avgusta je zavrnil več podrobnosti o popravkih, čeprav je predsednik uprave komentiral spodaj.)

Mnogi predmeti, ki so bili pretežki zaradi navadnega vdiranja, pomenijo kot sniffers

.

je mogoče najti v navadnem besedilu v dnevnikih in podobnem. Jmaxxz je eden tistih hekerjev, ki ne želijo delati težje, kot bi moral - in zakaj bi moral? Še vedno je težko verjeti, da bi lahko gostje vedno dodelili dodatne pravice za zaklepanje s spreminjanjem niza v klicih API od »uporabnika« do »superuserja«!

Za zdaj se zdi, da so te ključavnice dolgo udobne in kratke za varnost. Če vam ni všeč, da imate na svojem bazenu hišo ali taščo manj, kot je zvezdna varnost, bi to lahko bil prijeten način, da bi ohranili svetlobo na ključavnici - vendar lahko za vhodna vrata izboljšate.