Πόσο εύκολα παραβιάζονται οι bluetooth έξυπνες κλειδαριές;

Ερευνητές ασφαλείας στο πρόσφατο DefCon συνέδριο hacker έδειξαν πόσο εύκολα μπορούν να ανοίξουν μερικές Bluetooth έξυπνες κλειδαριές.

Οι ερευνητές Ben Ramsey και Anthony Rose της Merculite Security έριξαν μια ματιά σε 16 έξυπνες κλειδαριές από εταιρείες όπως οι Ceomate, Elecycle, iBlulock,  Mesh Motion, Okidokey, Plantraco, Quicklock και Vians. Οι Ramsey και Rose ανακάλυψαν ότι από αυτές τις 16 κλειδαριές, οι 12 μπορούν να χακαριστούν. Αρκετές από αυτές μπορούν να χακαριστούν και με λίγη ή καθόλου προσπάθεια.

Οι διαφάνειες παρουσίασης των ερευνητών είναι διαθέσιμες στο GitHub. Η παρουσίαση δημοσιεύθηκε για πρώτη φορά στο Tom’s Guide.

Συγκεκριμένα, τέσσερις από τις κλειδαριές έστελναν τους κωδικούς πρόσβασης σε μορφή απλού κειμένου από την κλειδαριά σε ένα αντίστοιχο smartphone app. Αυτό σίγουρα δεν είναι καλό και επέτρεψε στους white hat επιτιθέμενους να πάρουν τους κωδικούς πρόσβασης με ένα open source Bluetooth sniffer.

Μια άλλη κλειδαριά χρησιμοποιούσε τη δική της κρυπτογράφηση, γεγονός που είναι γενικά μια κακή ιδέα, δεδομένου ότι μια ειδικά κατασκευασμένη κρυπτογράφηση τείνει να δοκιμάζεται ελάχιστα απέναντι σε πιθανές τρύπες ασφαλείας. Στην περίπτωση αυτή, οι ερευνητές ήταν σε θέση να φέρουν την κλειδαριά σε μια κατάσταση σφάλματος, αλλάζοντας ένα μόνο byte στην κρυπτογράφηση, γεγονός που οδήγησε στο άνοιγμα της κλειδαριάς.

Δεν ήταν μόνο κλειδαριές για πόρτες είπαν μετά οι ερευνητές. Οι ερευνητές έλεγξαν και μια Bluetooth κλειδαριά ποδηλάτου και ήταν σε θέση να κάνουν μια man-in-the-middle επίθεση

για να την ανοίξουν.

Η ασφάλεια είναι το πρώτο πράγμα που έρχεται στο μυαλό όταν πρόκειται για κλειδαριές που προστατεύουν το σπίτι και την περιουσίας σας. Η μεγαλύτερη έκπληξη ήταν όταν οι ερευνητές επικοινώνησαν με τους διάφορους πωλητές κλειδαριών. Οι ερευνητές επικοινώνησαν και με τους 12 προμηθευτές από τις κλειδαριές που έσπασαν. Μόνο μία εταιρεία απάντησε και είπε στους ερευνητές, “Ξέρουμε ότι είναι ένα πρόβλημα, αλλά δεν θα το διορθώσουμε”, σύμφωνα με το Tom’s Guide.

Αυτό μπορεί να αλλάξει, όμως, όπως δήλωσαν οι ερευνητές μιας και έχουν σκοπό να κυκλοφορήσουν τα hacking εργαλεία που χρησιμοποίησαν για το κοινό. Έτσι, κάθε script kiddie με ελεύθερο χρόνο και $ 100 μπορεί να γίνει ένας master Bluetooth hacker, γεγονός που ελπίζουμε να πιέσει τους κατασκευαστές κλειδαριών να πάρουν στα σοβαρά την ψηφιακή ασφάλεια.

Γιατί αυτό έχει σημασία: Η ιδέα του έξυπνου σπιτιού (smart home) είναι συναρπαστική και υπάρχει  στα όνειρά μας, όμως στην πραγματικότητα, θα πρέπει να είμαστε προσεκτικοί. Οι Bluetooth κλειδαριές, οι έξυπνοι θερμοστάτες και λαμπτήρες είναι πολύ μοντέρνοι, αλλά μην ξεχνάτε ότι η ασφάλειά τους είναι αμφισβητήσιμη!