Zdroj: Pen Test Partners
Britská BBC poprosila bezpečnostných výskumníkov z Pen Test Partners, aby sa pozreli na niektoré smart zámky a posúdili ich bezpečnosť. Obyčajne sa zameriavajú na prekonanie smart funkcií ako Bluetooth/Wi-Fi, mobilná aplikácia alebo API cloud servera, ale fyzická bezpečnosť jedného z nich ich prekvapila.
Na Amazone kúpili za 140 libier PINEWORLD Biometric Fingerprint Smart Lock. Na prvý pohľad mal zámok dobrú konštrukciu, ale pri bližšom pohľade našli výskumníci problém s fyzickou ochranou. Po otvorení zámku zistili, že západka používaná pre záložný kľúč nie je nijako chránená.
Na zneužitie stačilo prevŕtať na boku kľučky malú dierku a skrutkovačom podvihnúť západku a ste vo vnútri bytu za 4 sekundy. Ako poznamenávajú výskumníci v článku, obal je vyrobený z hliníka alebo zliatiny hliníka, preto bolo vŕtanie rýchle a relatívne tiché. Pozrite si obrázky a video v článku zo zdroja.
Okrem mizernej fyzickej bezpečnosti našli chyby aj v smart časti. Zámok používa vstavaný statický kľúč pre autentifikáciu API, ktorý sa nezmení ani po resete zámku. Implementácia Wi-Fi je tiež zraniteľná za určitých okolností.
Amazon je plný vysokých hodnotení tohto zámku, uvidíme ako sa to zmení po tomto odhalení Pen Test Partners. Za nezvládnutú fyzickú bezpečnosť udeľujeme výrobcovi titul fail týždňa.
Obrázok: PINEWORLD
