Vaultek – компания, которая производит Bluetooth-сейфы для ценных вещей и огнестрельного оружия. И вроде ничего не предвещало беды, но…

Недавно охранная фирма Two Six Labs взяла один из таких сейфов Vaultek и продемонстрировала, что его можно легко взломать. Проверялся сейф Vaultek VT20i, владельцы которого могут заблокировать устройство PIN-кодов и через Android-приложение. В нем то и кроется проблема.

Приложение использует код сопряжения, который совпадает с PIN-кодом, и позволяет использовать для входа неограниченное количество попыток.

Специалисты смогли написать программу по угадыванию паролей методом перебора. Кроме того, исследователи обнаружили, что связь между телефоном и сейфом не зашифрована (вопреки утверждениям Vaultek), что означает, что информация может быть перехвачена.

Они также обнаружили, что сейф не проверяет PIN-код, поступающий с сопряженного телефона, что означает, что его можно разблокировать с помощью правильной команды, даже если PIN-код неверен.

Об этом эксперты сразу же сообщили в Vaultek, а те, в свою очередь, ограничили количество попыток авторизации и ввода PIN с релизом обновления. Ну и конечно же, компания зашифровала каналы передачи между приложением и сейфом. [The Verge]

• До ←

  Я готов выбросить свои банковские карты. Кроме одной

• После →

  Скидка 100%: 5 временно бесплатных приложений