הטרנד של מוצרים "חכמים" שמתחברים לאינטרנט או לסמארטפון משתלט על חיינו - אבל לא בטוח שהוא משפר אותם במשהו, כפי שגילו החודש המוני פראיירים לקוחות שקנו את המנעול החכם של חברת TappLock הקנדית, כך מדווחים אתר Naked Security והרג'יסטר.
המנעול המדובר שווק תחת הטענה שהוא בלתי ניתן לשבירה ולפריצה, משום שהוא משתמש בקורא טביעת אצבע ולא במפתח, ועשוי מחומר חזק במיוחד בשם Zamac3 (עוד נחזור אליו בהמשך). החברה גייסה הון במימון המון לייצורו באתר Indoegogo לפני שנתיים והצליחה להגיע לסכום של 330,000 דולר - יותר מפי חמישה מהסכום המבוקש.
הקמפיין הבטיח לתומכים שהמנעולים יגיעו עוד לפני סוף 2016 - אך בפועל הם החלו להגיע רק בסוף 2017, איחור של שנה שלמה. חלק מהתומכים חיכו אף יותר וקיבלו את המנעולים רק השנה - ומכאן העניינים רק הידרדרו.
בחודש שעבר קנה היוטיובר זאק נלסון, הידוע בשם הערוץ שלו Jerry Rig Everything, את המנעול של TappLock, שמשווק כיום בחנויות שונות תמורת 100 דולר, ועשה איתו מה שהוא עושה עם כל גאדג'ט - התעלל בו כדי לבדוק את העמידות שלו. לאחר שלא הצליח לפרוץ אותו באמצעים "רגילים" הוא ניסר אותו במסור דיסק - ואז גילה שבעצם לא היה צריך את המסור, מפני שגב המנעול ניתן לסיבוב בפתיחה.
הוא קנה מנעול נוסף של החברה והפעם השתמש באמצעי בסיסי למדי: אביזר שמיועד לקיבוע של מצלמת גו-פרו תוך שימוש במדבקה עגולה וחזקה ומקל שמושחל אליה. הוא הדביק את המדבקה על גב המנעול, חיכה שתתייבש ואז סובב אותה בעזרת זרוע הפלסטיק - ותוך 30 שניות פתח במברג פיליפס את הברגים שתחת מכסה הגב ופרץ את המנעול.
בסרטון מציע נלסון לחברה להחליף את הברגים בקנייניים, שלא כל מברג סטנדרטי יכול לפתוח - או לפחות להלחים את גב המנעול, כך שלא ניתן יהיה לפתוח אותו על ידי סיבוב. החברה, מצידה, טענה שיש מנגנון שאמור למנוע סיבוב של הגב ושהיא לא מצאה עוד יחידות בהן אפשר לסובב את הגב ולפרוץ את המנעול.
אלא שהדרך של זאק היתה רק אחת מאלו שהתגלו לפרוץ את המנעול - והאחרות קלות אפילו יותר.
לאחר פרסום הסרטון החליט אנדרו טירני מחברת אבטחת המידע הבריטית PenTest Partners לבדוק האם רק האבטחה הפיזית של המנעול לא היתה מספיק טובה - או שמא גם אבטחת המידע שלו. גם הוא רכש מנעול וניגש לבדוק אותו.
ראשית, הוא ציין, החומר ממנו עשוי המנעול - Zamak3, כאמור - נראה ומרגיש מוצג ביד, אבל הוא סגסוגת אבץ-אלומיניום קלה שנמסה בחום של 400 מעלות בלבד, ולכן לא נחשבת חזקה. לכן, המנעול אינו "בלתי שביר" (כפי שהוכיח כבר זאק עם המסור). אבל זו רק הערת אגב שלו.
כשניגש לבדוק את רמת האבטחה של המכשיר הוא שם לב שהטענה שהוא מאובטח התבססה על שימוש במנגנון שפעמים רבות בעבר כבר הוכח שאינו מבטיח הגנה, אלא תלוי בצורה בה משתמשים בו. אז הוא בדק איך מנגנון התקשורת של המנעול עם האפליקציה עובד - וגילה שהאפליקציה שולחת למנעול בבלוטות' קוד כלשהו, שנשאר תמיד אותו דבר גם אם משתמשים בכמה סמארטפונים וכמה חשבונות שונים לפתיחה של אותו מנעול.
במלים אחרות: לכל מנעול יש קוד שמוגדר לו מהמפעל, ולא משתנה אף פעם. אם גילית את הקוד של המנעול - אתה יכול לפרוץ אותו.
וכמה קל לגלות את הקוד הזה? כל מה שהיה טירני צריך היה להעביר את כתובת ה-MAC (מין קוד זיהוי של כל מכשיר עם בלוטות' או ווייפיי) דרך אלגוריתם פשוט שממיר אותה לקוד לפי מבנה קבוע. כלומר: ברגע שהוא גילה מה הצופן שלפיו נקבע הקוד של המנעול שלו - הוא יצר תוכנה שמוצאת את הקוד של כל מנעול אחר של החברה שהיא מסוגלת לקלוט. ההפעלה של התוכנה לוקחת שתי שניות בלבד - סך הכל פי 2.5 זמן מה-0.8 שניות שלוקחת פתיחת המנעול ללא פריצה.
כל תהליך הפריצה לקח לו פחות מ-45 דקות. הוא מיהר לדווח עליו לחברה ולתת לה שבוע לתקן את הבעיה לפני הפרסום - והיא טרחה לעשות זאת רק שעות בודדות לפני הדדליין, על ידי עדכון קושחה למנעולים שיש להניח שלא כל הבעלים הספיקו להתקין לפני שהפריצה פורסמה ונוצלה על ידי האקרים.
אבל גם זה לא הסוף. חוקר האבטחה היווני ואנגליס סטיקאס רצה לנסות את הפרצה - אבל לא היה לו מנעול לנסות את זה עליו, אז במקום זה הוא ניסה לפרוץ את האפליקציה. נחשו מה - הוא הצליח, ובקלות רבה.
סטיקאס גילה שהאפליקציה של החברה לא באמת בודקת את פרטי המשתמש כאשר מתחברים אליה, אלא רק בודקת אם יש למכשיר "אסימון" (טוקן) - קוד שאומר שהוא כבר אישר את פרטיו מול המערכת בעבר.
הוא פתח חשבון משלו - ללא מנעול - ואז הצליח להתחבר (ברשות) לחשבון של טירני. האפליקציה פשוט לא טרחה לבדוק האם החשבון שאליו הסמארטפון שלו מאושר לגשת אליו הוא זה שהוא מבקש לגשת אליו בפועל. כך הוא יכול היה לחדור לחשבון של טירני בלי סיסמה, לפתוח את המנעולים שלו ואף לראות את פרטיו האישיים - כדי שיוכל לדעת לחשבון של מי פרץ והיכן נמצאים המנעולים שלו כרגע.
גם הוא שיתף את ממצאיו עם החברה, ולפי הרשומה שלו החברה לא טרחה להתייחס לטיעוני האבטחה שלו, אלא רק לעובדה שהפרצה שמצא חשפה פרטים אישיים - מה שמנוגד לחוק הפרטיות האירופי החדש שנכנס לתוקף בחודש שעבר. החברה תיקנה את הפרצה לא בגלל שהיא איפשרה להפוך כל מנעול שלה לשלכם - אלא בגלל חוק שקובע שחשיפת המידע בדרך לגניבת המנעול בלתי חוקית.