Популярен модел на умните домофони може да хакне лесно с

Популярен модел на умните домофони може да хакне елементарно с елементарен Android смарт телефон
(снимка: CC0 Public Domain)

Оказва се, че актуалните интелигентни домофони могат да бъдат хакнати благодарение на елементарен смарт телефон, като целият развой лишава единствено няколко минути. Това твърди норвежката компания за осведомителна сигурност Promon, на която се базира обява в TechCrunch.

Изследователите са хакнали линията умни домофони Aiphone GT, употребявайки неназован смарт телефон с операционна система Android. Моделът и производителят на мобилния телефон като цяло нямат значение – главното е да има NFC модул.

Според специалистите, хакването на домофона Aiphone GT е доста просто единствено по себе си, което не прави чест на производителя на това устройство. Всъщност даже възпитаник може да хакне сходни устройства.

Проблемът се задълбочава освен от опцията да се употребява съвсем всеки съвременен смарт телефон с Android за офанзива, само че и от обстоятелството, че домофони от серията Aiphone GT са монтирани  в жилищни здания и държавни организации. Например, те са конфигурирани в Белия дом и в Народното събрание на Обединеното кралство.

Обикновено NFC в актуалните смарт телефони се употребява за заплащане на артикули и услуги. Достатъчно е единствено да приближите мобилния телефон до терминала и парите незабавно ще бъдат дебитирани от картата, обвързвана с него.
още по темата
Хакването на Aiphone GT работи на същия принцип. Необходимо е да поставите смарт телефона на минимално разстояние от домофона и да стартирате особено приложение, което налучква ПИН кодовете.

Всъщност това е най-класическият способ за хакване, прочут като „ bruteforce ”, или „ груба мощ ”. Експертите на Promon са провели опит с домофона Aiphone GT-DMB-N и потвърждават, че четирицифрен ПИН код може да бъде уловен от мобилен телефон за няколко минути, като автоматизирано се изредят всички вероятни 10 000 варианти.

Домофони Aiphone GT не лимитират броя на опитите за въвеждане на ПИН код, което доста опростява процеса на хакване. А фактът, че смарт телефонът самичък вкарва цифрите, го форсира доста. Освен това техниката разрешава на нарушителите да не допират самия домофон, което понижава риска от оставяне на доказателства под формата на пръстови отпечатъци.

Оказва се също, че Aiphone GT не съхранява регистрационни файлове, което разрешава на хакерите да не оставят и цифрови следи. Нещо повече, те могат освен да обхванат в постройката, само че и да си подсигуряват, че никой различен не може да влезе в нея. За задачата е задоволително да трансформират заложения ПИН код. По време на опита е открито, че такава опция съществува.

Проблемът се усложнява от това, че разработчиците на Aiphone GT нямат опция отдалечено да отстранят уязвимостта на софтуера. Експертите от Promon са съобщили за казуса на Aiphone в края на юни 2021 година По-късно разработчиците дават отговор, че безусловно всички домофони от линията Aiphone GT, пуснати преди 7 декември 2021 година, са уязвими и не могат да бъдат обновени.

Aiphone не прецизира какъв брой уязвими домофони е пуснала на пазара. Вероятно те са хиляди. Единственият метод за отбрана е да се размени моделът с стар фърмуер с нов, в който уязвимостта към този момент е поправена. Aiphone твърди, че домофоните, пуснати след 7 декември 2021 година, са устойчиви на офанзиви от смарт телефони. Как тъкмо се реализира отбраната не е ясно – може би просто е добавено ограничаване за броя на погрешно въведените кодове.