Tam je chyba v Master Lock značkové visací zámek, který umožňuje, aby někdo naučit kombinaci v osm nebo méně snaží, proces, který vyžaduje méně než dvě minuty a minimální množství dovednost provádět.
exploit zahrnuje zvedání zamčené pouta s jednou rukou, zatímco otáčení kombinace dial proti směru hodinových ručiček začíná na číslo 0, s ostatními. Než číselník dosáhne 11, budou tři body, kde bude číselník odolávat otáčení. Jeden z nich bude ignorován, protože je přesně mezi dvěma celými čísly na číselníku. Zbývající dvě místa představují uzamčené pozice. Dále útočník opět zvedne uzamčený třmen, tentokrát s menší silou, zatímco otáčí číselníkem ve směru hodinových ručiček. V určitém okamžiku před dokončením úplné revoluce bude číselník odolávat otočení. (Útočník to může ještě otočit, ale fyzicky pocítí odpor.) Toto umístění představuje místo odporu. Dvě uzamčené polohy a jedna poloha odporu jsou poté zaznamenány na webové stránce, která zjednodušuje exploit.
stránka reaguje s první číslice kombinace a dvou možných číslic, za poslední číslicí. Testováním, která z možných posledních číslic má více „dát“, může útočník rychle zjistit, která z nich je správná. Odstraněním falešné číslice z webového formuláře stránka automaticky vyplní osm možných čísel pro druhou číslici kombinace.
Nyní, že útočník ví, že první a poslední číslice a ví, druhá číslice je jedním z osmi možných čísel, hack je jednoduchá záležitost, že se snaží všechny možné kombinace, dokud ten správný otevře zámek. Následující video poskytuje jednoduchý návod.
tato technika vymyslel Samy Kamkar, serial hacker, který vytvořil vše, co od nenápadný klávesy-krádeže USB nabíječky do DIY stalker aplikace, které těží Google Streetview. V roce 2005, on rozpoutal Samy červ, cross-site scripting exploit, který srazil MySpace z komise, když přidal více než jeden milion přátel na MySpace, aby Kamkar na účet.
Kamkar řekl Ars, že jeho zneužití Master Lock začalo známou zranitelností, která umožňuje popraskání kombinací Master Lock ve 100 nebo méně pokusech. Poté fyzicky rozbil kombinační zámek a všiml si, že odpor, který pozoroval, byl způsoben dvěma částmi zámku, které se dotýkaly způsobem, který odhalil důležité stopy o kombinaci. (Přirovnal návrh hlavního zámku k postrannímu kanálu v kryptografických zařízeních, které lze využít k získání tajného klíče.) Kamkar poté provedl třetí pozorování, které bylo nápomocné jeho zneužití Master Lock: první a třetí číslice kombinace, pokud jsou děleny čtyřmi, vždy vrátí stejný zbytek. Spojením poznatků ze všech tří slabin vymyslel útok na videu.
není to v žádném případě jediný způsob, jak narušit bezpečnost populárního visacího zámku. Přichází několik let poté, co inženýři Master Lock vyvinuli nové visací zámky, které odolávaly populární formě útoků pomocí podložek vyrobených z plechovek na nealkoholické nápoje. Kamkar řekl, že vyzkoušel své využití na více než tuctu kombinovaných zámků Master Lock, a zatím to fungovalo na všech z nich. V nadcházejících týdnech plánuje odhalit další podrobnosti, včetně robota založeného na Arduinu,který zefektivňuje exploit.
příspěvek aktualizován pro změnu „libovolného“ v nadpisu na “ mnoho.“
sledujte, jak zaměstnanci Ars testují hack.