Cadeado “movido” a blockchain é derrotado por ataque de Bluetooth

O 360lock, um cadeado tecnologicamente habilitado (por quê?), Foi anunciado por seus criadores como “totalmente à prova de hackers” e incorporando a tecnologia blockchain usada na criptomoeda Ethereum.

Seu ponto de venda exclusivo é que o cadeado pode ser trancado e destrancado usando um aplicativo que transmite por uma conexão Bluetooth Low Energy, em vez de uma chave física ou fechadura com combinação. Aparentemente, isso precisava da inclusão de “códigos criptográficos avançados” para conduzir “o nível de segurança ao máximo”.

Essas alegações tolas chamaram a atenção dos Pen Test Partners, que não apenas hackearam o bloqueio “à prova de hack”, mas também descobriram que sua segurança física também era uma porcaria.

Tudo o que o pesquisador David Lodge fez foi gravar um comando de desbloqueio de Bluetooth bem-sucedido e reproduzi-lo, conforme detalhado no blog da empresa, referindo-se aos trechos de código: “Depois que fiz os comandos abaixo, ele se abriu. O primeiro pacote é de autorização, o segundo o comando open. Portanto, é vulnerável a ataques de repetição. “

Lodge também especulou que a fechadura era feita de Zamak, uma liga à base de zinco usada em produtos que vão de zíperes a espingardas de rifle e joias baratas. Embora as propriedades resistentes do Zamak o tornem bom para fundição sob pressão, uma coisa que falta é resistência à tração.

“Demorou um golpe para cortar o conector. Não use esta caixa de chave!” aconselhou Lodge, que também fez um vídeo de nove segundos sobre o que acontece quando você apresenta o cadeado 360lock e a trava de bicicleta para um martelo de 1 kg:

A remoção de quatro parafusos expostos na caixa das chaves levou a uma placa de obturação que Lodge foi capaz de retirar (“ela só foi presa com selante de silicone”) e obter acesso à eletrônica interna e ao motor que acionava a fechadura.

“Uma simples revisão de segurança teria detectado o problema de reprodução do BLE, além de outros problemas potenciais. Como isso foi esquecido?” ele perguntou, concluindo: “Os corpos das fechaduras não deveriam ser feitos de Zamak e ligas semelhantes. É mais fácil e mais barato fundir / usinar, em comparação com o aço, mas há uma razão para as fechaduras convencionais usarem metais temperados.”

A segurança, tanto física quanto digital, é importante. Especialmente em um produto de segurança inteligente. 

Fonte: https://www.theregister.com/2020/09/14/smart_padlock_really_isnt/