Vaultek 是一家制造用于存放贵重物品和枪支弹药的“蓝牙连接保险箱”的厂商,然而该公司最近却遇到了一件很尴尬的事情 —— 它们的产品竟然存在蓝牙安全漏洞。其实早在去年的时候,外媒就已经提到过“众包物联网设备有着令人担忧的不安全性”。近日,安全企业 Two Six Labs 就挑了 Vaultek 的一台联网保险箱下手,演示了它的安全性到底有多脆弱。
这台保险箱的具体型号为 Vaultek VT20i,用户可以通过 PIN 码或配套的一款 Android app 来解锁它。
问题在于,该 app 竟然使用了与 PIN 码相同的配对码,且允许无限次数的尝试!
也就是说,在实验室环境下,我们可以编写一个程序来暴力破解该保险箱的密码。
此外,研究人员发现手机和保险箱之间并未采用加密保护的连接(与 Vaultek 的宣传相悖),意味着信息可以被别有用心的人所截取。
最后,他们发现保险箱并不会验证来自已配对手机的 PIN 码。在这种情况下,大家可以用正确、或者不正确的 PIN 码来解锁。
BlueSteal Vaultek Unlock Demo
感兴趣的网友可以参阅 Two Six Labs 发布的这篇博客文章:
万幸的是,Vaultek 已经发布了一个固件更新,以限制密码尝试的次数、同时在应用与保险箱之间启用了加密传输。
[编译自:TheVerge]