Сегодня на операционном столе — типичный представитель «умных» замков начального ценового сегмента. Представьте: биометрия, карты доступа, PIN-коды — весь арсенал современного шпиона в компактном корпусе. Кажется, что ваша дверь превращается в портал в режим секретного бункера. Но эта иллюзия рассеивается за считанные минуты, и виной тому — фундаментальные просчеты в конструкции. Давайте заглянем под пластиковую оболочку. За идею поста благодарю https://habr.com/ru/companies/bastion/articles/937210/ Ивана Глинкина.
Прежде чем атаковать, нужно понять цель.
1️⃣ Механика. В основе лежит простой механизм. Внешняя и внутренняя ручки соединены квадратным штоком. Когда вы вводите верный код или прикладываете палец, крошечный электромотор выдвигает фиксатор, сцепляющий внешнюю ручку со штоком. Поворот ручки — и дверь открыта. На случай сбоя электроники есть запасной выход — классическая личинка для механического ключа. Уже здесь закрадывается первая уязвимость.
2️⃣ Электроника — «мозги» снаружи. Это ключевая ошибка архитектуры. Вся электроника расположена в наружной части ручки, то есть в публичной, незащищенной зоне. Внутрь помещения, через отверстие в штоке, уходит всего 4 провода, отвечающие за питание и сигналы от кнопок на внутренней панели. И вся эта конструкция защищена... пластиковой крышкой на двустороннем скотче.
Зная устройство, перейдем к практической части. Цепочка атак идет от пассивного OSINT к активному физическому вмешательству.
✔️ Пассивный OSINT. Человеческий фактор — наш главный союзник. Пользователи любят оставлять отзывы с фотографиями на маркетплейсах. В порыве энтузиазма они часто снимают не только замок, но и запасные механические ключи. Находим такой отзыв, увеличиваем фото ключа, перерисовываем контур. Идем в мастерскую, где за 200 рублей нам делают точную копию. Альтернатива — покупка ключа из ограниченного пула комбинаций (200-500 вариаций), который производитель использует для массового выпуска.
✔️ Forensic OSINT. Глянцевая панель для ввода PIN-кода — прекрасный сборщик отпечатков. Аккуратно протираем панель и ждем, пока владелец не введет код. Возвращаемся и под углом подсвечиваем панель фонариком смартфона. Видны жирные следы от последних нажатий. Это не ключ «от всех дверей», но мощный инструмент сокращения перебора.
✔️ Логическая уязвимость. Чтение инструкции открывает странные «пасхалки». Так, ввод служебной комбинации 888# переводит замок в режим инициализации. Если в следующие 10 секунд легальный пользователь откроет дверь своим методом (пальцем, картой), замок останется в режиме «всегда открыто». Атакующий вводит код перед приходом хозяина. Тот, ничего не подозревая, открывает дверь и де-факто оставляет ее разблокированной для следующего гостя.
✔️ Клонирование цифровых ключей. Замок использует карты стандарта Mifare Classic 1K, который был взломан много лет назад. С помощью устройства вроде Flipper Zero или Proxmark считываем карту владельца (например, в транспорте) за несколько секунд. Создаем точную копию на пустой болванке. Замок не отличит клон от оригинала.
✔️ Физический взлом. Этот метод делает все предыдущие излишними. Помните пластиковую крышку на скотче? Канцелярским ножом или пластиковой картой вскрываем крышку, получая прямой доступ к плате. Находим контакты, отвечающие за сигнал «открыть» от внутренней кнопки (в нашем случае белый и черный провода). Замыкаем эти контакты двумя иголками на 3 секунды. Замок имитирует команду изнутри помещения — щелк, дверь открыта. Время атаки: 10-15 секунд. Это открывает пространство для бэкдоров: можно припаять геркон и открывать дверь магнитом, или перепаять USB-порт для замыкания контактов при подключении кабеля. А можно просто разобрать ручку дальше и отверткой провернуть механизм.
