utnyttelsen innebærer å løfte opp en låst sjakkel med en hånd mens du dreier kombinasjonshjulet mot klokken, og starter ved nummer 0 med den andre. Før skiven når 11, vil det være tre poeng hvor skiven vil motstå å bli slått lenger. En av dem vil bli ignorert som det er nøyaktig mellom to hele tall på urskiven. De resterende to stedene representerer låste posisjoner. Deretter løfter en angriper igjen den låste sjakkelen, denne gangen med mindre kraft, mens du dreier hjulet med urviseren. På et tidspunkt før en full revolusjon er fullført, vil skiven motstå å bli vendt. (En angriper kan fortsatt vende seg gjennom det, men vil fysisk føle motstanden.) Denne plasseringen representerer motstandsplasseringen. De to låste posisjonene og den ene motstandsposisjonen registreres deretter på En Nettside som strømlinjeformer utnyttelsen.
siden svarer med det første sifferet i kombinasjonen og to mulige siffer for det siste sifferet. Ved å teste hvilke av de mulige siste sifrene som har mer «gi», kan en angriper raskt finne ut hvilken som er riktig. Ved å eliminere det falske sifferet Fra Webskjemaet, vil siden automatisk fylle ut de åtte mulige tallene for det andre sifferet i kombinasjonen.
Nå som angriperen vet første og siste siffer og vet det andre sifferet er en av åtte mulige tall, hack er en enkel sak for å prøve hver mulig kombinasjon til riktig åpner låsen. Følgende video gir en enkel opplæring.
teknikken ble utviklet Av Samy Kamkar, en seriell hacker som har skapt alt FRA stealthy tastetrykk-pilfering USB ladere TIL DIY stalker apps som minelagt Google Streetview. I 2005 slapp Han Løs Samy worm, en skriptutnyttelse som slo MySpace ut av kommisjonen da Den la til mer enn en million MySpace-venner Til Kamkars konto.Kamkar fortalte Ars At Hans Master Lock exploit startet med et velkjent sårbarhet som gjør At Master Lock-kombinasjoner kan bli sprakk i 100 eller færre forsøk. Han brøt fysisk åpne en kombinasjonslås og la merke til motstanden han observerte var forårsaket av to låsedeler som berørte på en måte som avslørte viktige ledetråder om kombinasjonen. (Han sammenlignet Master Lock design til en sidekanal i kryptografiske enheter som kan utnyttes for å få den hemmelige nøkkelen.) Kamkar gjorde da en tredje observasjon som var medvirkende til Hans Master Lock-utnyttelse: det første og tredje sifferet i kombinasjonen, når den deles med fire, returnerer alltid den samme resten. Ved å kombinere innsikt fra alle tre svakheter han utviklet angrepet lagt ut i videoen.
det er på ingen måte den eneste måten å bryte sikkerheten til en populær hengelås. Det kommer noen år etter At Master Lock ingeniører utviklet nye hengelås som motstod en populær form for angrep ved hjelp av shims laget av brus bokser. Kamkar sa at han har prøvd sin utnyttelse på mer enn et dusin Master Lock kombinasjon låser, og så langt har det fungert på dem alle. I de kommende ukene planlegger han å avsløre flere detaljer, inkludert En Arduino-basert robot som strømlinjeformer utnyttelsen.
Post oppdatert for å endre » noen «i overskriften til» mange.»
Watch Ars medarbeidere sette hack på prøve.