Khóa thông minh Ultraloq hóa ra không thông minh hay an toàn

Các nhà nghiên cứu cảnh báo khóa cửa thông minh Ultraloq không cần chìa khóa do U-tec chế tạo có thể cho phép kẻ tấn công theo dõi nơi khóa này đang được sử dụng và dễ dàng mở khóa – cả khóa số lẫn khóa vật lý.

Theo trang ThreatPost, Ultraloq là khóa cửa vân tay có kết nối Bluetooth và màn hình cảm ứng được bán với giá khoảng 200 USD (gần 5 triệu đồng). Nó cho phép người dùng sử dụng dấu vân tay hoặc mã PIN để mở cửa vào tòa nhà. Ultraloq cũng có một ứng dụng có thể được sử dụng mở cửa tại chỗ hoặc từ xa.

Pen Test Partners, với sự giúp đỡ từ các nhà nghiên cứu có tài khoản là @evstykas và @cybergibbon, đã xem xét kỹ hơn và phát hiện ra Ultraloq đã bị gài lỗ hổng. Đầu tiên, các nhà nghiên cứu nhận thấy rằng giao diện lập trình ứng dụng (API) được ứng dụng di động sử dụng đã rò rỉ dữ liệu cá nhân từ tài khoản người dùng dẫn đến xác định được địa chỉ nơi thiết bị Ultraloq đang được sử dụng.

Các nhà nghiên cứu đã tiến thêm một bước và cho biết việc hack mở khóa vật lý là chuyện nhỏ và dễ dàng.

Theo một báo cáo được công bố hồi cuối tháng Sáu, U-tec đã khắc phục sự cố API. Tuy nhiên, nhà sản xuất khóa không khóa không giải quyết được vấn đề Bluetooth Low Energy (BLE) cho phép kẻ tấn công dễ dàng bẻ khóa bằng tấn công brute force. Việc thâm nhập nhiều lớp bảo mật gắn liền với Ultraloq bắt đầu bằng việc bẻ khóa khóa bảo mật BLE.

Khóa BLE được xây dựng và hoạt động trong hai phần: Một phần là mã thông báo thu được từ khóa. Và thứ hai là bảo vệ muối tĩnh của dữ liệu thông tin xác thực. Các bộ phận này (mã thông báo và muối tĩnh) được ghép lại với nhau để tạo ra một mảng byte 16 octet, kích thước phù hợp cho khóa AES, các nhà nghiên cứu cho biết. Muối tĩnh có thể được lấy từ ứng dụng và tương đương với chuỗi.

Tiếp theo, mã thông báo thu được bằng cách truy vấn các đặc tính BLE bằng mã định danh duy nhất toàn cầu (UUID). Vì mã của khóa là một số nguyên gồm 6 chữ số, điều này cho phép thực hiện một cuộc tấn công brute force thông qua giao diện BLE.

Một điểm yếu khác của Ultraloq theo các nhà nghiên cứu là thiếu xác thực API.

"Các API [API] không có xác thực nào cả", các nhà nghiên cứu đã viết. "Dữ liệu bị xáo trộn bằng cách base64 hai lần nhưng giải mã nó cho thấy phía máy chủ không có logic xác thực hoặc ủy quyền. Điều này dẫn đến kẻ tấn công có thể lấy dữ liệu và mạo danh tất cả người dùng".

Điều này có thể dẫn đến kẻ gian có thể can thiệp vào tất cả các khóa Ultraloq được kết nối với dịch vụ đám mây. "Cách dễ nhất để đột nhập là chặn quá trình đăng nhập và thay đổi user ID của người dùng đã đăng nhập. Sau đó, ứng dụng sẽ hoạt động như người dùng với user ID mà chúng tôi đã cung cấp, đăng nhập và có toàn quyền kiểm soát tất cả các khóa, theo các nhà nghiên cứu.

Chưa hết, các nhà nghiên cứu cũng cho biết các khóa vật lý có thể dễ dàng mở được chỉ với một que tăm mỏng do cơ chế khóa vật lý không an toàn. Họ đã thử nghiệm và thấy một người nghiệp dư có thể mở chúng một cách nhanh chóng và dễ dàng.

U-tec đã được thông báo về các lỗ hổng vào tháng 4/2019 và nhanh chóng trả lời yêu cầu làm rõ. Vào ngày 1/5, U-tec đã sửa lỗi lỗ hổng API và vào ngày 28/5 đã yêu cầu các nhà nghiên cứu cho thời hạn một tháng nữa để khắc phục sự cố BLE trước khi tiết lộ.

Tuyên Quang