Открыть "умные" замки можно с помощью сразу нескольких багов⁠⁠

Начиная с прошлой недели ИБ-специалисты обнародовали сразу несколько отчетов, рассказывающих об абсолютной незащищенности «умных» замков канадского производителя Tapplock. Стоит сказать, что стоят такие гаджеты по 99 долларов за штуку.

Информационная безопасность

Первыми о незащищенности Tapplock сообщили исследователи Pen Test Partners. Они обнаружили, что замок можно разблокировать и без отпечатка пальца его владельца, так как коды разблокировки генерируются на основании BLE MAC-адреса устройства. Адрес преобразуется с помощью устаревшего алгоритма MD5, который с легкостью может быть взломан. Так как Bluetooth-замки разглашают свои BLE MAC-адреса всем желающим, атакующему не составит труда приблизиться на нужное расстояние, узнать адрес, обработать его с помощью MD5 и получить хеш, использовав его для разблокировки замка.

Разработчики Tapplock пообещали устранить очевидную брешь в безопасности, временно отказавшись от разблокировки замков «по воздуху». Однако на этом их проблемы не закончились.

Вдохновившись исследованием Pen Test Partners, греческий ИБ-специалист Вангелис Стикас (Vangelis Stykas) тоже решил изучить «умные» замки Tapplock и обнаружил, что API-сервер компании разглашает конфиденциальные данные пользователей. В результате злоумышленник может как узнать о местонахождении замка, так и разблокировать его.

Исследователь продемонстрировал, что имея собственный аккаунт Tapplock (для этого понадобится лишь email и официальное приложение) и зная ID чужого аккаунта, можно без труда пройти аутентификацию и прохватить управление устройством.

Дело в том, что разработчики Tapplock не потрудились должны образом обезопасить свой бэкэнд и даже не используют HTTPS. Впрочем, ничего взламывать и брутфорсить не придется, так как номера ID присваиваются аккаунтам по предсказуемой нарастающей схеме, как номера домов или улиц. Хуже того, API не ограничивает количество обращений, то есть извлекать пользовательские данные с серверов можно до бесконечности.

В итоге всего пара команд через терминал позволяют получить от API Tapplock информацию об адресе, где замок был разблокирован последний раз, открыть его через официальное приложение, или поехать на место и применять технику, описанную аналитиками Pen Test Partners, после чего устройство так же будет взломано и разблокировано.

Физический взлом

И даже это еще не все. Исследователи также предъявляют претензии и к физической безопасности Tapplock и самой конструкции замков. К примеру, в начале июня 2018 года ютюбер JerryRigEverything продемонстрировал, что вскрыть «умный» замок можно с помощью специальной вакуумной присоски, фактически без помощи инструментов. В ответ на это разработчики заявили, что ему просто попался бракованный замок.

На прошлой неделе еще один специалист рассказал в Twitter, что Tapplock можно развинтить с помощью обычной отвертки, а также приложил письмо с ответом производителя. В письме исследователю сообщили, что компания не видит в этом большой проблемы, ведь для людей, у которых с собой отвертки нет, замки неуязвимы.

Специалисты Pen Test Partners так же проверили Tapplock на устойчивость и обнаружили, что простой болторез тоже отлично справляется с поставленной задачей.