Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Inteligentna kłódka. AES / bezpieczeństwo klasy wojskowej… każdy może ją zdalnie otworzyć w 2 sekundy :P
Opis problemów z kłódką Taplock. W największym skrócie – mając MAC address interfejsu Bluetooth kłódki (rozgłaszany broadcastem) – można ją otworzyć. Bo właśnie „kluczem” który otwiera kłódkę jest adres MAC i wartości, które z niego zostały wyliczone:
Yes. The only thing we need to unlock the lock is to know the BLE MAC address. The BLE MAC address that is broadcast by the lock.
Czas otworzenia kłódki wynosi poniżej 2 sekund, a autorzy badania przygotowują prosty skrypt na Androida, który załatwia całą sprawę:
I scripted the attack up to scan for Tapplocks and unlock them. You can just walk up to any Tapplock and unlock it in under 2s. It requires no skill or knowledge to do this.
Cała akcja na filmie:
–ms
Swego czasu WiFi w routerach Vectry też było „zabezpieczane kluczem” Mac adress ;)
Wyjątkowo nie udany model kłódki. Jakiś dywersant to projektował? Znany jutuber pokazuje jak ją otworzyć śrubokrętem:
https://www.youtube.com/watch?v=RxM55DNS9CE
Ciekawy wpis i ciekawy gadżet. Ładnie pokazujący, jak zbytnie komplikowanie rzeczy, przez automatyzację i skomputeryzowanie, szkodzi. Ostatnio się tak uśmiałem czytając opisy dystrybutorów wody w biurach as a service za oceanem. Billing per porcja wody. Niestety, brak łączności z bazą powoduje, że się nie można napić.
Producent zapowiada łatkę https://tapplock.com/notice/20180612/ ale oryginalny wpis pokazuje, że kłódka jest raczej mało odporna na atak fizyczny, a tego się nie spatchuje…