Dwa lata temu badacze bezpieczeństwa James Rowley i Mark Omo zainteresowali się sprawą firmy Liberty Safe, która miała przekazać FBI kod umożliwiający otwarcie sejfu związanego z wydarzeniami z 6 stycznia 2021 roku. Chcieli sprawdzić, w jaki sposób producenci mogą mieć dostęp do wewnętrznych kodów zabezpieczających, które teoretycznie powinny być znane tylko właścicielowi.

Odkrycie luk:

Analiza doprowadziła ich do zamków elektronicznych Securam ProLogic, używanych nie tylko przez Liberty Safe, ale także co najmniej siedem innych marek. Badacze wykryli dwie poważne luki bezpieczeństwa:

1. ResetHeist – metoda pozwalająca na odszyfrowanie kodu resetującego sejf dzięki analizie systemu i wykorzystaniu ogólnodostępnych narzędzi.

2. CodeSnatch – technika oparta na Raspberry Pi i dostępie do portu debugowania, umożliwiająca odczytanie kodu odblokowującego w zaledwie kilka sekund.

Publiczna demonstracja:

Podczas konferencji Defcon 2025 Rowley i Omo zademonstrowali, jak obie metody pozwalają otworzyć sejf z zamkiem Securam ProLogic bez użycia specjalistycznego sprzętu. Omo podkreślił, iż szczególnie groźna jest luka związana z „tylnym wejściem” dla ślusarzy – atakujący mogą zdobyć kod bez żadnego dodatkowego dostępu.

Reakcja producentów:

Badacze poinformowali Securam o swoich odkryciach wiosną 2024 roku. Początkowo firma próbowała zablokować publikację wyników i groziła działaniami prawnymi. Ostatecznie producent ogłosił, iż nie zamierza wprowadzać aktualizacji systemu do już istniejących zamków, zalecając wymianę urządzeń na nowsze modele.
Liberty Safe zapowiedziało analizę sytuacji i możliwość wymiany zamków. Inne firmy, takie jak High Noble Safe czy CVS, prowadzą ocenę ryzyka lub podkreślają, iż dbają o bezpieczeństwo użytkowników, choć nie ujawniają szczegółów.

Znaczenie odkrycia:

Rowley i Omo podkreślają, iż ich celem jest ochrona konsumentów i wywołanie debaty na temat standardów bezpieczeństwa fizycznego. Przypadek Securam ProLogic stawia ważne pytanie: czy nowoczesne, elektroniczne zamki rzeczywiście są tak bezpieczne, jak obiecują producenci?

Źródło: wired.com

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.