Бюджетні смарт-замки – це суцільна ілюзія захисту, яка тримається на шматочку двостороннього скотчу. Виробники запхали всю електроніку у зовнішню ручку, тому відкрити такі двері можна звичайною голкою чи викруткою за лічені секунди. Якщо ви купуєте подібний гаджет за пару тисяч гривень, то замість безпеки отримуєте дорогу іграшку, яку зломщик обійде швидше, ніж старий механічний замок. Копіювання карток, підбір коду за відбитками на панелі та вразлива архітектура роблять цей пристрій абсолютно марним для реального захисту дому. У цій статті розберемо п’ять реальних способів вскриття такого замка та з’ясуємо, як відрізнити справжній захист від дешевого маркетингового трюку.
Уявіть ситуацію: на двері встановлюється крутий «розумний» замок. Біометрія, карти доступу, пін-коди – справжній арсенал захисту в одному корпусі. За такими дверима легко відчути себе героєм шпионського кіно, де вхід можливий лише за відбитком пальця, а стороннім шлях закрито.
Але раптом з’ясовується, що весь цей кіберпанк обходиться п’ятьма різними способами за лічені хвилини. І роблять це не хакери з Голлівуду, а звичайний сусід із викруткою. Відчуття безпеки миттєво зникає, а «фортеця майбутнього» стає схожою на дешеву картонну декорацію.
Нижче наведено розбір п’яти векторів атак на такий «розумний» замок. Це чудовий приклад того, що красива технологічна обгортка не завжди гарантує реальний захист. Буде пізнавально, а місцями навіть абсурдно.
Перед тим як щось ламати, варто розібратися, як воно взагалі працює. Знати анатомію пристрою так само важливо для хакера, як і для хірурга – це вже половина справи.
Для початку розберемося з базою. Конструкція тримається на трьох китах: внутрішня ручка, личинка та зовнішня частина. Вся ця система працює в зв’язці завдяки квадратному стрижню – штоку.
Коли замок отримує команду (код, карта, палець або Bluetooth), маленький електромотор висуває металевий фіксатор. Ця деталь працює за принципом зчеплення в авто: вона фізично з’єднує зовнішню ручку зі штоком. Тільки після цього поворот ручки передається на механізм і двері відкриваються. Потім фіксатор ховається, а ручка знову просто «холосто» прокручується в очікуванні нової команди.
Якщо електроніка «помре», є звичайний ключ. Він вставляється в личинку на торці та рухає той самий фіксатор механічно, по-старому. Здається, вже зрозуміло, де тут слабке місце. Але це тільки початок.
Тепер про начинку. Всю електроніку компактно втиснули прямо в ручку. У внутрішній частині (тій, що в квартирі) знаходяться відсік на чотири батарейки ААА та пара кнопок.
Велика кнопка потрібна для режиму «завжди відчинено»: затискаєте на три секунди, і механізм розблоковується. Друга кнопка, прихована в отворі, відповідає за скидання до заводських налаштувань. Вона натискається звичайною голкою: потримали п’ять секунд – і замок знову як тільки з коробки, без жодних паролів.
А ось у зовнішній, вуличній частині ручки – найцікавіше. Саме сюди виробник запхав усі «мізки» замка: центральну плату та контролери. Це все одно що поставити блок керування домашньою сигналізацією не всередині квартири, а в поштовій скриньці біля хвіртки. Перевіряти зручно, але про безпеку тут взагалі не йдеться.
Що ж ми бачимо всередині цієї «поштової скриньки»? Тут розташована центральна плата – справжній мозок, що відповідає за всі рішення. Сюди ж підключені пристрої введення: сенсори для PIN-коду, сканер відбитків та зчитувач карток. Є і Bluetooth-модуль для коннекту зі смартфоном. Знизу виведено порт USB-C для аварійного живлення (суто зарядка, дані він не передає). А під самою платою захований виконавчий механізм – той самий мікромоторчик, що рухає фіксатор.
Від плати до внутрішньої ручки через отвір у штоку йде шлейф із чотирьох дротів: червоного, чорного, зеленого та білого. Саме вони передають живлення та сигнали від кнопок, що розташовані всередині приміщення.
Тепер, коли з анатомією розібралися, час переходити до пентесту. І повірте – тут на нас чекає цілий «букет» сюрпризів.
Почнемо з елементарного – людського фактора. Деякі покупці так радіють новому гаджету, що залишають на маркетплейсах детальні відгуки з фотографіями. В пориві ентузіазму в кадр потрапляє не тільки сама ручка, а й фізичні ключі. Це і є наша перша точка входу.
Ось класичний приклад: огляд на популярному сайті, де на фото чітко видно ключ.
Збільшуємо картинку, перемальовуємо контури прямо з екрана і йдемо до найближчого майстра. Дублікат такого ключа виточать за копійки в будь-якому кіоску.
До речі, навіть так заморочуватися не обов’язково. Механічні ключі тут зазвичай не унікальні. Заводи штампують такі замки величезними тиражами з обмеженою кількістю комбінацій. Для моделей на кшталт нашої існує всього близько 200-500 варіантів нарізки.
Безпека тут тримається на тому, що замок з ідентичним ключем навряд чи відправлять в одній партії в те саме місто. Але оскільки ми спокійно знайшли копію свого ключа просто серед фоток на маркетплейсі, виробник явно зекономив навіть на цій мізерній кількості варіацій.
Тепер поглянемо на кодову панель. Чорний глянцевий пластик виглядає солідно хіба що в каталогах. У житті він миттєво збирає жирні відбитки пальців, і ці сліди – наш другий шлях до зламу.
Алгоритм елементарний: протираємо панель ганчіркою, чекаємо, поки власник набере свій PIN, повертаємося і роздивляємося свіжі «пальчики». Якщо підсвітити панель ліхтариком смартфона під певним кутом, потрібні цифри стають чітко помітними.
Звісно, залишається питання послідовності. У нашому замку код може мати від 6 до 10 знаків, але відбитки радикально звужують коло пошуку. Наприклад, якщо ми знаємо, що код шестизначний, і бачимо сліди на шести різних кнопках, нам залишається перебрати $6! = 720$ варіантів. Таку кількість комбінацій цілком реально проклацати вручну за адекватний час.
Звичайно, шість цифр без повторів – це ідеальний сценарій для зломщика. Якщо цифри повторюються, кількість варіантів зростає до $6^6 = 46\,656$. Тому назвати цей метод миттєвим «чит-кодом» важко, проте як бонус до арсеналу атак він працює чудово. Це не універсальна відмичка, але дуже непогана підказка.
Хто взагалі читає інструкції? А варто було б, бо саме там захована цікава «пасхалка» від розробників.
Комбінація 888# переводить замок у режим ініціалізації. Якщо після цього протягом 10 секунд власник відкриє двері своїм звичайним способом (пальцем чи картою), замок перейде в режим «завжди відчинено». Так він і стоятиме розблокованим до наступної команди.
Сценарій для атаки простий: зломщик підходить до дверей за кілька секунд до вашого приходу, вводить 888# і робить вигляд, що просто перевіряє ручку. Ви підходите, бачите, що замок зачинений, прикладаєте палець і заходите всередину. Вітаю: ви щойно власноруч залишили двері відчиненими для сторонніх.
Четвертий варіант – карти доступу. Наш «піддослідний» працює з форматом Mifare Classic 1K. Це старий стандарт, який зламали вже дуже давно.
За допомогою гаджетів на кшталт Flipper Zero або Proxmark можна за пару секунд зчитати дані з картки та зробити її повну копію на «болванку». Замок навіть не зрозуміє, що його надурили. Виглядає максимально ненадійно.
А ось і спосіб, який робить усі попередні методи просто зайвими. Повернімося до конструкції: усі «мізки» замка – контролер, дроти та електроніка – винесені назовні, у загальнодоступну зону. І захищає все це «багатство»… звичайна пластикова кришка на двосторонньому скотчі.
Це навіть не театр безпеки, а якийсь гурток самодіяльності.
Достатньо взяти будь-який тонкий і міцний предмет: канцелярський ніж, пластикову картку або лопатку для розбирання корпусів. Кілька рухів – і кришка в руках, а під нею плата з усіма контактами.
Ми вже знаємо про чотири дроти, що йдуть всередину. Один із них (у нашому випадку білий) відповідає за сигнал від внутрішньої кнопки відкриття, а інший (чорний) – це земля. Беремо дві голки, замикаємо потрібні контакти прямо на платі, чекаємо три секунди – і замок «думає», що кнопку натиснули зсередини. «Клац» – і двері відчинені. Весь процес займає секунд 10–15.
Це дає величезний простір для фантазії. Можна непомітно підготувати замок до наступних візитів. Наприклад:
Припаяти до контактів мініатюрний геркон. Тоді двері відкриватимуться просто піднесенням магніту до ручки.
Зробити «бекдор» через USB – перепаяти порт USB-C так, щоб при підключенні кабелю контакти замикалися автоматично. Підійшов, вставив кабель – замок відкрився.
Втім, навіть в електроніці розбиратися не обов’язково. Якщо розібрати ручку повністю (викрутити ще пару гвинтів), можна просто підштовхнути викруткою механізм, який провертає штифт.
Після побаченого стає очевидно: замок спроектований із грубими помилками ще на рівні архітектури. Якщо робити по-розуму, така система мала б виглядати зовсім інакше:
Вся електроніка – всередині. Контролер, дроти та механізми керування повинні бути фізично недоступні з вулиці.
Зовні – лише інтерфейси. Тільки зчитувач карток, сканер або кнопки. Жодної критичної логіки в зовнішній ручці.
Надійне кріплення. Замість скотчу – гвинти з потайними головками, захищені заклепки або будь-яке інше серйозне залізо.
Унікальні сервісні коди. Слід прибрати загальний пароль
888#або зробити його унікальним для кожного окремого пристрою.
Захист від зламу (tamper protection). Варто додати датчики відкриття корпусу, які б миттєво надсилали сповіщення власнику.
