В США провели удачный эксперимент по дистанционному вскрытию оружейного сейфа. На открытие контейнера через Bluetooth уходит всего несколько секунд, а взлом сейфа не потребовал каких-либо специфических знаний программиста.
Об этом сообщает N+1со ссылкой на ArsTechnica.
Эксперимент проводили специалисты по информационной безопасности из компании Two Six Labs.
Сейф кодировали сотрудники фирмы Vaultek. Поэтому Two Six Lab заранее уведомила Vaultek о найденной уязвимости и производитель сейфов «улучшил безопасность соединения по Bluetooth, добавив возможность отключения функции открывания сейфа».
В компании Vaultek не верили, что вскрытие сейфа можно осуществить за короткий промежуток времени и для этого, заявили они, нужно несколько часов.
Но на практике вскрытие сейфа без PIN-кода оказалось более простым делом.
«Как только вам удалось взломать устройство или написать скрипт, выполняющий атаку, вы можете в дальнейшем открыть любой сейф из этой линейки продуктов за считанные секунды. Это может сделать кто угодно», — говорит один из авторов эксперимента Остин Флетчер.
В Two Six Lab считают, что у опытного программиста уйдет от 20 до 60 минут на то, чтобы дописать по отрывкам опубликованного ими кода полностью работоспособный скрипт.
Также хакеры отметили, что не обнаружили никаких признаков механизма обновления прошивки сейфа, поэтому уже проданные устройства, вероятно, так и останутся уязвимыми для подобных атак.
Кроме того, в своем отчете специалисты из Two Six Lab указывают на еще две обнаруженных уязвимости. Первая позволяет перехватить передаваемый по Bluetooth PIN-код, а вторая позволяет его быстро подобрать — дело в том, что сейф не ограничивает количество попыток ввода PIN-кода, а максимальное количество возможных комбинаций для Vaultek VT20i составляет чуть больше 390 тысяч.
Известно, что во многих странах мира закон обязывает владельцев огнестрельного оружия пользоваться оружейными сейфами. Украина, кстати, не исключение. Сами сейфы при этом давно перестали быть просто железными ящиками с механическими замками — многие современные сейфы оборудованы электронными замками и даже поддерживают управление через приложение на смартфоне — обычно для этого все равно требуется ввести код.