هک آسان قفل‌های هوشمند مبتنی بر بلوتوث

محققان امنیتی در کنفرانس Defcon نشان دادند چگونه یک هکر به آسانی می‌تواند برخی از قفل‌های هوشمند مبتنی بر بلوتوث را هک کند.

هفته گذشته محققان امنیتی بن رمزی و آنتونی رز از Security Merculite در کنفرانس Defcon نشان دادند چگونه به آسانی می‌توان برخی از قفل هوشمند مبتنی بر بلوتوث را باز کرد. براساس تجزیه و تحلیل ۱۶ قفل هوشمند از شرکت های مختلف مانند Ceomate ،Elecycle iBlulock ،Mesh Motion ،Okidokey ،Plantraco ،Quicklock و Vians کشف کردند که ۱۲ عدد از آنها می تواند به راحتی هک شوند.

عمده مشکلات نگران‌کننده در قفل هوشمند مبتنی بر بلوتوث انتقال کلمات عبور در قالب متن ساده و رمزنگاری نشده، پیاده‌سازی بد مکانیسم‌های رمزنگاری و آسیب‌پذیری در برابر حملات مرد میانی بودند.

این واقعاً برای یک مهاجم آسان بود که رمزهای عبور ارسال شده توسط برنامه‌های تلفن همراه به قفل هوشمند را با استفاده از یک برنامه‌ی شنود متن‌باز بلوتوث به سرقت ببرد.

در یکی از موارد، قفل هوشمند از یک رمزنگاری اختصاصی استفاده می‌کرد که گزینه‌ای دارای پیاده‌سازی ضعیف بود. در این مورد خاص، یک متخصص می‌توانست با تغییر دادن یک بایت، قفل هوشمند را در حالت خطا قرار دهد، که منجر به باز شدن قفل می‌شد.

کارشناسان امنیتی همچنین دیگر اشیاء هوشمند مبتنی بر بلوتوث، مانند یک قفل دوچرخه را مورد تجزیه و تحلیل قرار دادند. در این مورد، آن‌ها با موفقیت با انجام یک حمله مرد میانی توانستند قفل دوچرخه را باز کنند.

محققان ۱۲ فروشنده که طراح قفل هوشمند آسیب‌پذیر هستند را گزارش داده‌اند، اما فقط یکی از آن‌ها به این مسئله اعتراف و موضوع را تایید کرده است و اعلام کرده که درصدد رفع این مشکل است.

به منظور اینکه این شرکت‌ها مجبور به رفع این مسائل و مشکلات شوند، محققان امنیتی باید بطور عمومی و آزاد ابزارهایی که برای آزمون استفاده کرده‌اند را منتشر کنند، این بدان معنی است که هر کس بدون مهارت‌های خاص می‌تواند قفل‌های هوشمند را هک کند.

اگر علاقه‌مند به مشاهده‌ی اسلایدهای مربوط به ارائه‌ی کارشناسان متخصص در این زمینه هستید، می‌توانید به این پیوند مراجعه کنید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.