Популярные оружейные сейфы Vaultek можно взломать и открыть удаленно - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
Популярные статьи
  • 15 ноябрь 2024, 00:01
Грядёт Wi-Fi 8: когда он появится и что предложит вместо повышения скорости - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
       
  • 24 март 2016, 17:40
Написание эффективного кода
  • 24 март 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 02 май 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
  • 25 апрель 2024, 01:19
Скачать приложение Betera на Android
12-12-2017, 13:00
Популярные оружейные сейфы Vaultek можно взломать и открыть удаленно - «Новости»
Рейтинг:
Категория: Новости

Специалисты компании Two Six Labs представили подробный технический отчет, в котором рассказали, что еще прошлым летом им удалось обнаружить ряд проблем в оружейных сейфах производства Vaultek. Исследователи присвоили обнаруженным проблемам кодовое имя BlueSteal.


Оказалось, что сейфы, ранее собравшие более 70 000 долларов на Indiegogo, можно взломать с помощью обычного брутфорса, а заявления производителя о защищенности продуктов и надежном шифровании далеки от истины.


Уязвимости были обнаружены в одном из наиболее популярных решений Vaultek, сейфе модели VT20i.  Дело в том, что открыть такой сейф можно не только со встроенной в него клавиатуры, набрав на ней нужный PIN-код, но и с помощью специального Android-приложения, которое соединяется с устройством посредством Bluetooth LE.


Перед тем как приступать к использованию приложения, предварительно его нужно «спарить» с сейфом. При этом код для установления связи между устройствами аналогичен коду, открывающему сейф. И количество попыток ввода комбинации не ограничено. То есть исследователи обнаружили, что атакующий может задействовать брутфорс во время «спаривания» устройств и узнать PIN-код к сейфу методом простого перебора.


Хуже того, аналитики Two Six Labs заметили, что через Bluetooth LE приложение отсылает сейфу команду открытия, наряду с PIN-кодом, и этот обмен данными защищен весьма скверно. Во-первых, выяснилось, что сейф вообще не проверяет корректность полученного от приложения PIN-кода. По сути, достаточно передать сейфу команду открытия с привязанного к нему смартфона, а PIN-код вообще не играет роли. Во-вторых, хотя производитель уверяет, что все коммуникации между сейфом и приложением защищены с использованием AES-128, это оказалось неправдой. Исследователи пишут, что PN-код передается в формате обычного текста и не защищен никак. В сущности, атакующий может просто перехватить Bluetooth-трафик и извлечь PIN-код для сейфа из него.


Исследователи пишут, что намеренно не рассказывали об уязвимостях ранее, так как разработчики Vaultek еще летом представили патчи для найденных проблем. Специалисты хотели дать пользователям больше времени на установку обновлений.


В ролике ниже можно увидеть эксплуатацию проблем, вошедших в состав BlueSteal (CVE-2017-17435 и CVE-2017-17436) в реальной жизни.




Источник новостиgoogle.com

Специалисты компании Two Six Labs представили подробный технический отчет, в котором рассказали, что еще прошлым летом им удалось обнаружить ряд проблем в оружейных сейфах производства Vaultek. Исследователи присвоили обнаруженным проблемам кодовое имя BlueSteal. Оказалось, что сейфы, ранее собравшие более 70 000 долларов на Indiegogo, можно взломать с помощью обычного брутфорса, а заявления производителя о защищенности продуктов и надежном шифровании далеки от истины. Уязвимости были обнаружены в одном из наиболее популярных решений Vaultek, сейфе модели VT20i. Дело в том, что открыть такой сейф можно не только со встроенной в него клавиатуры, набрав на ней нужный PIN-код, но и с помощью специального Android-приложения, которое соединяется с устройством посредством Bluetooth LE. Перед тем как приступать к использованию приложения, предварительно его нужно «спарить» с сейфом. При этом код для установления связи между устройствами аналогичен коду, открывающему сейф. И количество попыток ввода комбинации не ограничено. То есть исследователи обнаружили, что атакующий может задействовать брутфорс во время «спаривания» устройств и узнать PIN-код к сейфу методом простого перебора. Хуже того, аналитики Two Six Labs заметили, что через Bluetooth LE приложение отсылает сейфу команду открытия, наряду с PIN-кодом, и этот обмен данными защищен весьма скверно. Во-первых, выяснилось, что сейф вообще не проверяет корректность полученного от приложения PIN-кода. По сути, достаточно передать сейфу команду открытия с привязанного к нему смартфона, а PIN-код вообще не играет роли. Во-вторых, хотя производитель уверяет, что все коммуникации между сейфом и приложением защищены с использованием AES-128, это оказалось неправдой. Исследователи пишут, что PN-код передается в формате обычного текста и не защищен никак. В сущности, атакующий может просто перехватить Bluetooth-трафик и извлечь PIN-код для сейфа из него. Исследователи пишут, что намеренно не рассказывали об уязвимостях ранее, так как разработчики Vaultek еще летом представили патчи для найденных проблем. Специалисты хотели дать пользователям больше времени на установку обновлений. В ролике ниже можно увидеть эксплуатацию проблем, вошедших в состав BlueSteal (CVE-2017-17435 и CVE-2017-17436) в реальной жизни. Источник новости - google.com

Теги: CSS, можно PIN-код сейфу Vaultek защищен

Просмотров: 839
Комментариев: 0:   12-12-2017, 13:00
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
ДОБАВИТЬ БАННЕР