Master Lock-merkkisissä Riippulukoissa on haavoittuvuus, jonka avulla kuka tahansa voi oppia yhdistelmän kahdeksalla tai vähemmällä yrityksellä, prosessi, joka vaatii alle kaksi minuuttia ja minimaalisen määrän taitoa suorittaa.
haavoittuvuus liittyy nostamalla lukittu Kahle yhdellä kädellä samalla kääntämällä yhdistelmä soittaa vastapäivään alkaen numero 0 muiden kanssa. Ennen kuin kellotaulu saavuttaa 11, tulee kolme pistettä, joissa kellotaulu vastustaa enää kääntämistä. Yksi niistä jätetään huomiotta, koska se on täsmälleen kahden numeron välissä kellotaulussa. Loput kaksi paikkaa edustavat lukittuja paikkoja. Seuraavaksi hyökkääjä nostaa jälleen lukitun kahleen, tällä kertaa vähemmällä voimalla, kääntäen kellotaulua myötäpäivään. Jossain vaiheessa ennen täyttä vallankumousta kellotaulu vastustaa kääntämistä. (Hyökkääjä voi vielä kääntyä sen läpi, mutta tuntee fyysisesti vastarinnan.) Tämä paikka edustaa vastarinnan sijaintia. Kaksi lukittua asentoa ja yksi vastus kanta sitten kirjataan Web-sivun, joka tehostaa hyödyntää.
sivu vastaa yhdistelmän ensimmäisellä numerolla ja kahdella mahdollisella viimeisellä numerolla. Testaamalla, mikä mahdollisista viimeisistä numeroista on enemmän ”antaa”, hyökkääjä voi nopeasti selvittää, kumpi on oikea. Poistamalla väärän numeron Web-lomakkeesta sivu automaattisesti kansoittaa kahdeksan mahdollista numeroa yhdistelmän toiselle numerolle.
nyt kun hyökkääjä tietää ensimmäisen ja viimeisen numeron ja tietää, että toinen numero on yksi kahdeksasta mahdollisesta numerosta, hakkerointi on yksinkertainen asia kokeilla jokaista mahdollista yhdistelmää, kunnes oikea avaa lukon. Seuraava video tarjoaa yksinkertaisen opetusohjelman.
tekniikan keksi Samy Kamkar, sarjahakkeri, joka on luonut kaiken Salakavalasta näppäilystä näpytteleviin USB-latureihin ja DIY-stalkkerisovelluksiin, jotka louhivat Google Streetview ’ tä. Tässä 2005, hän vapautti Samy worm, cross-site scripting hyödyntää, joka kaatoi MySpace pois komission, kun se lisäsi yli miljoona MySpace ystäviä Kamkar tilille.
Kamkar kertoi Ars: lle, että hänen Master Lock-haavoittuvaisuutensa alkoi tunnetusta haavoittuvuudesta, jonka avulla Master Lock-yhdistelmiä voidaan murtaa 100 tai vähemmän yrittämällä. Sitten hän mursi fyysisesti yhdistelmälukon auki ja huomasi havaitsemansa vastarinnan johtuvan kahdesta lukon osasta, jotka koskettivat tavalla, joka paljasti tärkeitä vihjeitä yhdistelmästä. (Hän vertasi Päälukon rakennetta salakirjoituslaitteiden sivukanavaan, jota voidaan hyödyntää salaisen avaimen saamiseksi.) Kamkar sitten teki kolmannen havainnon, joka oli keskeinen hänen Master Lukko hyödyntää: kun yhdistelmän ensimmäinen ja kolmas numero jaetaan neljällä, palautetaan aina sama loppuosa. Yhdistämällä oivalluksia kaikista kolmesta heikkoudesta hän laati videon mukaisen hyökkäyksen.
se ei suinkaan ole ainoa tapa murtaa suositun riippulukon tietoturvaa. Se tulee muutama vuosi sen jälkeen, kun Master Lock-insinöörit kehittivät uusia riippulukkoja, jotka vastustivat suosittua hyökkäysmuotoa käyttäen virvoitusjuomatölkeistä valmistettuja shimejä. Kamkar sanoi kokeilleensa hyödyntämistään toistakymmentä Master Lock-yhdistelmälukkoa vastaan, ja toistaiseksi se on toiminut niissä kaikissa. Lähiviikkoina hän aikoo paljastaa lisää yksityiskohtia, muun muassa Arduino-pohjaisen robotin, joka tehostaa hyödyntämistä.
viesti päivitetty niin, että otsikossa oleva ”mikä tahansa” muutetaan muotoon ”moni.”
Watch Ars staffers laittoi hakkeroinnin testiin.