您现在所在的位置: » 碧痕网>科技>新加坡赌场玩什么,Vaultek蓝牙型枪支保险箱遭遇黑客攻击

新加坡赌场玩什么,Vaultek蓝牙型枪支保险箱遭遇黑客攻击

2020-01-10 11:51:37 阅读量:4242

新加坡赌场玩什么,Vaultek蓝牙型枪支保险箱遭遇黑客攻击

新加坡赌场玩什么,vaultek vt20i允许用户通过其pin码板设置访问密码。vaultek还提供一款android应用,允许其拥有者通过蓝牙le协议解锁该保险箱,使用该android应用与保险箱进行配对(配对码与保险箱的解锁码相同)才能解锁。

研究人员表示,该应用可进行无限次配对尝试。这意味着攻击者能够以强制配对方式试出保险箱的真实pin码。攻击者可以通过安装在手机上的应用解锁vt20i保险箱,或者在具备物理访问权限的情况下,通过保险箱上的pin码键盘输入该密码。

问题还远不止如此。two six labs研究人员还发现,移动应用的安全解锁流程中还存在一项缺陷。此流程通过移动应用发送蓝牙le解锁消息与pin码。研究人员们指出,该保险箱并不会验证pin码是否正确,只要消息来配对手机,保险箱就会执行解锁操作。

最后,研究人员们发现尽管供应商宣称保险箱与移动应用之间的通信内容采用aes-128加密,但实际并没有加密数据交换。

研究人员们指出,“这款应用在成功配对之后,会以明文形式向保险箱传递pin码。保险箱周边的攻击者可以嗅探蓝牙流量并提取pin码。再结合此前发现的两项缺陷,攻击者将能够与保险箱实现配对(因为配对密码与保险箱密码完全相同),而后发送解锁命令,这意味着即使拥有者变更了pin码,攻击者仍能够开启保险箱,因为保险箱验证的是手机设备是否完成配对,而非发出pin码是否正确。

vaultek公司于今年夏季发布了更新以解决以上三个漏洞(研究人员们将其命名为blusteal)。不过two six labs方面还是将研究结果推迟至昨天才正式公开,旨在保证各保险箱用户有更多时间进行设备更新。

vaultek表示,其“通过禁用蓝牙解锁或整体连接选项改善了蓝牙安全性”,并添加了“一项用于解决暴力破解攻击的超时功能,外加面向应用与保险箱间通信内容的加密机制。”

two six labs研究团队发布了以下视频,其中详尽展示了bluesteal安全漏洞(cve-2017-17435与cve-2017-17436)的相关证据。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

北京11选5