Умные домофоны таят опасность. Хакеры взламывают их за пару минут

  • Меценат
  • Автор темы

Умные домофоны таят опасность. Хакеры взламывают их за пару минут и запрещают жильцам попадать домой. Решения проблемы нет​


Самый дешевый смартфон с NFC может стать инструментом для взлома умного домофона. Они содержат в себе уязвимость, позволяющую за пару минут подобрать код доступа и даже сменить его на новый, чтобы жильцы не могли попасть к себе домой. Уязвимые домофоны стоят не только в жилых домах, но и в государственных учреждениях и даже в парламенте Великобритании.

Не очень умные домофоны​

Современные умные домофоны, как оказалось, можно взломать при помощи обычного смартфона, потратив на весь процесс всего несколько минут. По информации TechCrunch, это наглядно доказала норвежская компания Promon, работающая в сфере информационной безопасности.

По словам исследователей, они взломали смарт-домофон линейки Aiphone GT, задействовав неназванный Android-смартфон. Модель и производитель мобильника, в целом, не имеют значения – главное, чтобы в нем был модуль NFC.

Эксперты заявляют, что взлом домофона Aiphone GT сам по себе очень прост, что не делает чести производителю данного устройства.

domo600.jpg

Подобные устройства лишь кажутся надежными и неприступными. На деле взломать их может даже школьник
Проблема усугубляется не только возможностью использования почти любого современного Android-смартфона для атаки на него, но и тем, что домофоны серии Aiphone GT используются в жилых домах и государственных учреждениях. Например, они используются в Белом доме (резиденция Президента США) и парламенте Великобритании.

Как пользоваться​

NFC в современных смартфонах в подавляющем большинстве случаев используется для оплаты товаров и услуг. Достаточно просто поднести мобильник к терминалу на небольшое расстояние, и деньги тут же спишутся с привязанной к нему карты.

Взлом Aiphone GT работает по тому же принципу. Нужно расположить смартфон на минимальном расстоянии от домофона и запустить специальное приложение, перебирающее PIN-коды.

По сути, это самый классический метод взлома, известный как bruteforce. Эксперты Promon провели эксперимент с участием домофона Aiphone GT-DMB-N и доказали, что четырехзначный PIN-код мобильник может подобрать за несколько минут, просчитав все возможные 10 тыс. вариантов автоматически.

Процесс взлома

Домофоны Aiphone GT не ограничивают количество попыток ввода PIN-кода, что заметно упрощает процесс взлома. А тот факт¸ что смартфон вводит цифры самостоятельно, существенно ускоряет его. Также это позволяет злоумышленникам не касаться самого домофона, что уменьшает риск оставить улики в виде отпечатков пальцев.

Для этого достаточно просто поменять установленный PIN-код на любой другой. В ходе эксперимента обнаружилось, что такая возможность тоже имеется.

А вот возможности удаленно устранить уязвимость программного обеспечения у разработчиков Aiphone GT, напротив, нет. Исследователи Promon сообщили о проблеме компании Aiphone еще в конце июня 2021 г. Позже разработчики ответили, что абсолютно все домофоны линейки Aiphone GT, выпущенные до 7 декабря 2021 г., уязвимы и не могут быть обновлены.

Aiphone не стала уточнять, сколько именно «дырявых» домофонов она успела выпустить. Вполне вероятно, что их могут быть тысячи. Единственным способом защиты является замена модели с устаревшей прошивкой на новую, в которой уязвимость уже исправлена. Aiphone утверждает, что домофоны, выпущенные после 7 декабря 2021 г., защищены от взлома при помощи смартфона. Как именно реализована защита, не установлено – возможно, просто добавлено ограничение на количество неверно введенных кодов.

Зачем так сложно​

Домофоны Aiphone GT не очень распространены в России, но и популярные в стране модели можно взломать при помощи современного гаджета. Летом 2020 г. CNews писал о популярном среди взломщиков устройстве Flipper Zero – своего рода «тамагочи для хакеров». Это виртуальный питомец, живущий в корпусе небольшого устройства и растущий по мере увеличения количества взломанных при помощи него устройств. Его создали россияне, и для его производства была запущена кампания на KickStarter, оказавшаяся суперуспешной. Необходимая сумма ($60 тыс., 3,64 млн руб. по курсу ЦБ на 11 ноября 2022 г.) была собрана всего за восемь минут.

domo601.jpg

Карманный «уничтожитель» домофонов

Кроме того, редакция CNews обнаружила на просторах интернета и на YouTube массу инструкций по взлому домофонов, распространенных именно в России. Это касается и моделей с базовыми возможностями, и более современных решений, в том числе со встроенным NFC-чипом.

Источник