นักวิจัยด้านความปลอดภัยจาก F-Secure KeyWe Smart Lock ซึ่งเป็นล็อคประตูอัจฉริยะ ได้เปิดเผยปัญหาที่ร้ายแรง โดยอนุญาตให้ด้วยความช่วยเหลือของ สำหรับ Bluetooth Low Energy และ Wireshark ให้ดักจับข้อมูลควบคุมและดึงรหัสลับที่ใช้ในการปลดล็อกสมาร์ทโฟนออกมาจากข้อมูลเหล่านั้น
ปัญหาดังกล่าวทวีความรุนแรงขึ้นเนื่องจากตัวล็อกเหล่านี้ไม่รองรับการอัปเดตเฟิร์มแวร์ และช่องโหว่นี้จะได้รับการแก้ไขในอุปกรณ์ล็อตใหม่เท่านั้น ผู้ใช้ปัจจุบันสามารถแก้ไขปัญหาได้โดยการเปลี่ยนตัวล็อกหรือหยุดใช้สมาร์ทโฟนในการเปิดประตู ตัวล็อก KeyWe มีราคาขายปลีกที่ 155 ดอลลาร์ และโดยทั่วไปใช้ในบ้านส่วนตัวและร้านค้า นอกเหนือจากกุญแจมาตรฐานแล้ว ตัวล็อกยังสามารถเปิดได้ด้วยกุญแจอิเล็กทรอนิกส์ผ่านแอปพลิเคชันบนสมาร์ทโฟนหรือใช้สายรัดข้อมือที่มีแท็ก NFC
เพื่อรักษาความปลอดภัยของช่องทางการสื่อสารที่ใช้ในการส่งคำสั่งจากแอปพลิเคชันบนมือถือ จะใช้อัลกอริธึม AES-128-ECB แต่รหัสการเข้ารหัสจะถูกสร้างขึ้นจากรหัสสองรหัสที่คาดเดาได้ คือ รหัสร่วม และรหัสรองที่คำนวณได้ ซึ่งสามารถกำหนดได้ง่าย รหัสหลักจะถูกสร้างขึ้นจากพารามิเตอร์การเชื่อมต่อบลูทูธ เช่น ที่อยู่ MAC ชื่ออุปกรณ์ และคุณลักษณะของอุปกรณ์
อัลกอริทึมสำหรับการคำนวณกุญแจตัวที่สองสามารถกำหนดได้โดยการวิเคราะห์แอปพลิเคชันบนมือถือ เนื่องจากข้อมูลการสร้างกุญแจเป็นที่ทราบตั้งแต่แรก การเข้ารหัสจึงเป็นเพียงรูปแบบเท่านั้น และในการถอดรหัส ก็เพียงพอที่จะกำหนดพารามิเตอร์ของล็อค ดักจับเซสชันการเปิดประตู และดึงรหัสการเข้าถึงออกมาได้ เครื่องมือสำหรับการวิเคราะห์ช่องทางการสื่อสารกับล็อคและกำหนดรหัสการเข้าถึง บน GitHub
ที่มา: opennet.ru
