События

Исследователи взломали оружейный сейф с поддержкой Bluetooth

Исследователи взломали оружейный сейф с поддержкой Bluetooth

Исследователям кибербезопасности из компании Two Six Labs удалось взломать оружейный сейф с поддержкой соединения по Bluetooth VT2oi от компании Vaultek.

Сейф Vaultek VT20i позволяет пользователям ввести PIN-код как с панели на самом сейфе, так и через Android-приложение. Перед разблокировкой сейфа приложение должно быть сопряжено с ним. Код сопряжения совпадает с кодом разблокировки сейфа. По словам исследователей, приложение позволяет неограниченное количество попыток сопряжения по протоколу Bluetooth LE. Таким образом злоумышленник может подключиться к сейфу с помощью стороннего ПО и взломать его посредством брутфорс-атаки.

Помимо этого, исследователи обнаружили уязвимость в процессе разблокировки сейфа с помощью мобильного приложения. Когда мобильное приложение отправляет сообщение о разблокировке вместе с PIN-кодом сейф не проверяет правильность кода и снимает блокировку, если сообщение поступает с сопряженного телефона.

Как выяснили исследователи, в Vaultek VT20i также отсутствует какое-либо шифрование при обмене данными с мобильным приложением, несмотря на то, что производитель заявляет о наличии шифрования AES-128.

Приложение передает PIN-код сейфа в незашифрованном виде в случае успешного сопряжения, позволяя находящемуся в непосредственной близости злоумышленнику перехватить трафик Bluetooth и извлечь код. Затем он может подключиться к сейфу (поскольку сопряжение и PIN-код совпадают) и разблокировать устройство (даже после того, как владелец изменил PIN-код), так как сейф не проверяет код.

Летом текущего года Vaultek выпустила исправления для уязвимостей CVE-2017-17435 и CVE-2017-17436, получивших название Bluesteal, однако исследователи отложили публичное раскрытие, чтобы предоставить владельцам сейфов больше времени для обновления устройств.

Эксперты опубликовали видео с демонстрацией взлома

Источник

Автор: Сергей Куприянов
12.12.2017 (22:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.