Cara menggunakan fungsi Bluetooth untuk menyerang dan membuka kunci gembok pintar Tapplock dalam masa dua saat

Beberapa minggu yang lalu, seorang bernama JerryRigEverything di Youtube telah memuat naik video teardown Gembok Cap Jari Bluetooth Pintar Tapplock. Video menunjukkan bahawa penutup belakang Tapplock boleh ditanggalkan dengan memasang tapak pelekat dengan kamera GoPro, dan kemudian menggunakan pemutar skru untuk membuka kunci Tapplock dengan mudah.

Video ini menimbulkan rasa ingin tahu saya tentang keselamatan kunci pintar Tapplock ini mempunyai pengecaman cap jari, Bluetooth telefon mudah alih dan membuka kunci kod Morse. Sejauh manakah ia selamat? Daripada ini, saya menjalankan beberapa penyelidikan tentang Tapplock, dan akhirnya saya mencapai buka kunci Tapplock dalam masa 2 saat.

Video tunjuk cara:

Komposisi perkakasan

Padlock pintar Tapplock diperbuat daripada keluli yang dikeraskan dan aloi zink Zamak-3 die-cast yang tahan lama. Aloi zink Zamak-3 sering digunakan dalam produk die-cast seperti mainan kanak-kanak, pemegang pintu, pencukur lelaki, dll. Tegasnya, bahan logam ini tidak begitu kuat dan boleh cair dan berubah bentuk di bawah 400°C kunci kuat Secara keseluruhan, ini bukan pilihan bahan yang baik. Zamak-3 memudahkan untuk membuat beberapa tuangan halus yang kelihatan indah dan berasa pepejal, dan ia hanya kelihatan selamat dan kukuh.

Mekanisme penyulitan

Padlock pintar Tapplock menggunakan algoritma penyulitan 128-bit AES, dan kekuatan penyulitan adalah sangat tinggi.

Kekuatan penyulitan ini bersamaan dengan gred tentera, tetapi bagi penggodam IoT, penyulitan simetri ini masih mempunyai beberapa kelemahan, terutamanya dalam arahan Tapplock di sini, tiada peruntukan untuk berpasangan, bertukar-tukar dan perkongsian, malah pengesahan asas tidak disertakan dalam arahan keselamatan. Oleh itu, dalam senario aplikasi seperti ini, penyulitan AES-128 masih mempunyai kekurangan.

Selain itu, terdapat banyak kontroversi tentang keselamatan gembok Tapplock, seperti "Tapplock yang tidak boleh dipecahkan tidak begitu selamat dan boleh dipercayai". Tapplock tidak Tidak begitu selamat.

Tapplock secara rasmi mendakwa bahawa kunci gemboknya adalah "sangat berkuasa", tetapi sebenarnya ia mungkin tidak dapat dibandingkan dengan kunci pintu Abloy Protec. Pegawai Tapplock juga mendakwa bahawa gembok mereka "hampir tidak boleh dipecahkan," tetapi akhirnya dipecahkan oleh pemotong bolt 4 inci. Nampaknya semuanya adalah muslihat pemasaran untuk dibanggakan.

Ujian Keselamatan

Ujian keselamatan di atas juga menimbulkan rasa ingin tahu saya, jadi saya membeli gembok pintar Tapplock untuk mengujinya sebenarnya, harganya ialah 80 euro, 14 jam Selepas itu, gembok pintar Tapplock telah dihantar ke rumah saya. Mula-mula, saya melekat pada penutup belakang Tapplock menggunakan pelekap kamera GoPro, mengikut kaedah JerryRigEverything.

Selepas 30 minit lekatan penuh, saya menarik tapak pelekat dengan kuat, tetapi malangnya saya tidak dapat membuka penutup belakang Tapplock. Ternyata terdapat hujung spring di dalam penutup belakang yang memanjang ke bahagian atas penutup belakang, yang direka khas untuk mengelakkan penutup belakang daripada longgar atau berputar. Ada kemungkinan hujung musim bunga ini boleh rosak, tetapi hanya bergantung pada kamera untuk melekat pada tapak mungkin tidak mencukupi. Walau bagaimanapun, kunci ujian Tapplock JerryRigEverything tidak mempunyai hujung spring yang menonjol ini, tetapi kunci ujian Tapplock yang kami beli mempunyai hujung spring ini Oleh itu, kami menarik kuat tapak pelekat kamera dan akhirnya gagal membukanya mengikut kaedah JerryRigEverything .

Mengawal Tapplock menggunakan Bluetooth Low Energy (BLE)

Kini, kami beralih kepada Bluetooth Low Energy (BLE) untuk ujian, dan secara mengejutkan, kami menemui beberapa perkara yang luar biasa melalui ini. Secara amnya, saya suka membaca artikel penggodaman IoT kreatif yang memakan masa dan mendalam, tetapi mari kita langkau perkara itu dan terus ke intinya. Dalam masa kurang daripada 45 minit, kita perlu menyelesaikan retak dan membuka kunci Tapplock.

Pertama sekali, kami mendapati bahawa tiada mekanisme penyulitan penghantaran dalam komunikasi HTTP APP mudah alih Tapplock Ini adalah 2018, bukan pada zaman dahulu, yang benar-benar mengejutkan.

Seperti yang dapat dilihat daripada analisis rangkaian di atas, setiap kali saya menggunakan BLE untuk menyambung ke Tapplock, rentetan "rawak" akan dihantar ke hujung Tapplock. Rentetan ini nampaknya berkaitan dengan Tapplock Perintah untuk berkomunikasi.

Tetapi perlu diingat bahawa tidak kira berapa kali saya melakukan permintaan sambungan kepada Tapplock, data rentetan ini kekal tidak berubah. Seperti yang dapat dilihat daripada pelaksanaan baris arahan berikut bagi gatttool alat eksploitasi Bluetooth, Tapplock juga terdedah kepada serangan ulang tayang.

Oleh kerana APP mudah alih Tapplock membenarkan pengguna berkongsi gembok Tapplock dengan orang lain, atau membatalkan kebenaran penggunaan dalam tempoh tertentu. Oleh itu, saya berkongsi kunci ujian dengan pengguna lain, dan kemudian menangkap data komunikasi BLE dan mendapati bahawa kaedah perkongsian Tapplock antara pengguna ini sama sekali seperti kawalan pengguna tunggal biasa terhadap Tapplock, iaitu, walaupun Anda telah membatalkan membuka kunci kebenaran pengguna kongsi lain, tetapi pengguna lain masih boleh mendapatkan semua maklumat untuk membuka kunci pengesahan melalui tangkapan paket data komunikasi Maklumat ini boleh digunakan untuk mengesahkan dan membuka kunci Tapplock, yang tidak berbeza dengan pengguna kawalan tunggal. Ini sedikit seperti masalah dengan Loceng Pintu Pintar Cincin, di mana adalah mustahil untuk membatalkan pengguna lain dengan kebenaran buka kunci yang tinggi.

Tiada tetapan tetapan semula kilang

Padlock pintar Tapplock tidak dilengkapi dengan mekanisme tetapan semula kilang yang betul Menggunakan akaun hanya boleh memadamkan maklumat kunci yang sepadan, tetapi bukan data buka kunci yang sepadan. Data buka kunci yang disimpan dihantar ke atau dari pelayan ke Tapplock Oleh itu, penyerang di lokasi yang sesuai dalam rangkaian boleh memintas data buka kunci ini dan menggunakan data ini untuk membuka kunci Tapplock secara tidak langsung.

Ini bukan masalah kecil Berhenti bercakap karut. Keupayaan untuk membuka kunci adalah kuncinya.

Kawalan penuh

Selepas beberapa minit penyelidikan dan analisis, saya mendapati kaedah fungsi khusus dipasangkan dengan proses buka kunci gembok Tapplock:

 public void regularPair(String str, byte[] bArr, byte[] bArr2) {      bArr = getCMD(CMD_PAIRING_REGULAR, bArr, bArr2);
      send(str, bArr);
      str = TAG;
      bArr2 = new StringBuilder();
      bArr2.append("Regular pair called, send ");
      bArr2.append(BluetoothTool.byteToStr(bArr));
      Log.e(str, bArr2.toString());
   }

Dalam kaedah ini, Tapplock padlock dihantar Perintah tetap CMD_PAIRING_REGULAR yang mengandungi dua tatasusunan dua bait. Dua tatasusunan dwibait ini akan membaca maklumat yang sepadan berikut:

this.bluetoothCenterManager.regularPair(lockMacAddress, BluetoothTool.strToBytes(lockInfo.getKey1()), BluetoothTool.strToBytes(lockInfo.getSerialNo( ) ));

Maklumat yang sah ialah Key1 dan SerialNo. Dari mana ia dihantar? Ternyata apabila kunci pada mulanya dipasangkan, maklumat di atas secara tidak langsung ditukar kepada alamat MAC Bluetooth gembok Tapplock melalui kaedah keyAndSerialNo. Kaedah keyAndSerialNo adalah seperti berikut:

public static String keyAndSerialNo(String str, String str2) {
      str = AndroidTool.md5(str.toUpperCase()).toUpperCase();
      if (str2.equals(KEY_ONE) {
         str = str.substring(0, 8);
      } else if (str2.equals(KEY_TWO) {
         str = str.substring(8, 16);
      } else if (str2.equals(SERIAL_NO) {
         str = str.substring(16, 24);
      }
      return str;
   }

Di sini, ia akan menggunakan huruf besar alamat MAC Bluetooth gembok Tapplock, dan kemudian menukarnya kepada nilai cincang MD5, dengan 0 hingga 7 aksara ialah kunci1 dan 16 hingga 23 bait ialah nombor siri No Siri.

Ya, satu-satunya perkara yang anda perlu tahu untuk membuka kunci Tapplock ialah alamat MAC Bluetooth Tapplock, dan alamat MAC ini disiarkan oleh Tapplock. Saya serta-merta terkejut dengan keselamatan yang lemah ini, jadi saya memesan Tapplock lain dan mengesahkan ketulenan kunci Tapplock dan APPnya.

Akhirnya, saya menulis skrip serangan untuk mengimbas gembok Tapplock dan membuka kuncinya Skrip ini boleh membuka kunci mana-mana Tapplock dalam masa kurang daripada 2 saat, tanpa sebarang pengetahuan atau kemahiran lanjutan. Kemudian, saya akan memindahkan skrip ini ke dalam aplikasi Android untuk menjadikan keseluruhan operasi buka kunci lebih mudah dan lebih pantas. Secara keseluruhannya, kos membuka kunci gembok Tapplock adalah sangat rendah. Keselamatan kunci pintar Tapplock adalah memalukan Pendekatan ini tidak menghormati pengguna, dan saya tidak dapat berkata-kata.

Keselamatan fizikal

Tapplock mendakwa mempunyai fungsi anti-kilat , yang menghalang penyerang daripada memancarkan selak. Walau bagaimanapun, bukaan gigitan Tapplock agak nipis dan agak jauh dari titik tekanan sendi.

Selain itu, dengan pemotong bolt 12 inci, anda boleh memotong bolt Tapplock dalam masa kurang daripada 10 saat:

Laporan Kerentanan

Sebagai kunci gembok pintar, mekanisme keselamatan Tapplock sebenarnya sangat jelas, iaitu menghalang penyerang membuka kunci. Tahap keselamatan kunci bergantung pada reka bentuk model ancamannya sendiri Reka bentuk keselamatan yang betul boleh melambatkan serangan penyerang pada kunci sedikit sebanyak, dan tidak akan ada kelemahan keselamatan yang boleh dieksploitasi. Sebagai kunci gembok pintar dalam era IoT, keselamatan Tapplock hanya membimbangkan Ia boleh dibuka kunci dalam masa kurang daripada 2 saat. Tetapi apabila saya melaporkan isu ini kepada pegawai Tapplock, mereka sebenarnya membalas kepada saya:

“Terima kasih atas nota anda, kami amat mengetahui nota ini.”

Terima kasih atas nota anda nota. Peringatan lapor, kami sedar tentang isu ini.

Ah, ternyata walaupun pegawai Tapplock menyedari masalah ini, mereka bukan sahaja gagal membaikinya, tetapi juga terus menjual kunci ini tanpa memberitahu pengguna tentangnya. Ini benar-benar mengejutkan saya.

Atas ialah kandungan terperinci Cara menggunakan fungsi Bluetooth untuk menyerang dan membuka kunci gembok pintar Tapplock dalam masa dua saat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!