Оказывается, игрушка фирмы Mattel отлично подходит для взрослого дела: взлома беспроводных замков с фиксированным кодом, какие часто устанавливают на гаражные двери. Прибор OpenSesame — новый проект известного аппаратного хакера Сэми Камкара (Samy Kamkar).
Сэми обнаружил уязвимость в радиозамках: слишком малый диапазон ключей при полном отсутствии криптографической защиты. Таким образом, подобрать подходящий радиоимпульс можно очень быстро. Автор использовал девическую модель Radica Girltech IM-ME, которая принимает и отправляет сигнал в диапазоне ниже 1 ГГц с помощью радиочипа TI CC1110 (это что-то вроде двустороннего пейджера для девочек).
Хакер подключился к контактам, предназначенным для программирования игрушки, и слегка модифицировал прошивку (исходный код лежит на Github).
При взломе используется тот простой факт, что у радиозамка исключительно ограниченный диапазон пространства для ключей: обычно всего 4096 вариантов (12-битные замки). Поскольку с пульта код нужно повторить пять раз, с соблюдением необходимых пауз между импульсами, брутфорс всего пространства ключей займёт 29 минут. И это если нам известна частота передачи.
Камкар разработал несколько способов оптимизации, благодаря которым сократил время брутфорса с 29 до 3 минут.
Но зачем осуществлять последовательный перебор двоичных комбинаций, если можно послать сплошной битовый поток, в который включены все возможные 12-битные варианты? Математика позволяет сгенерировать такой поток наиболее оптимальным образом. Оптимальная битовая последовательность такого рода называется последовательностью де Брёйна, в честь великого голландского математика.
Её и использовал хакер, сократив время брутфорса с трёх минут до 8,214 секунды!
Сэми говорит, что подобные беспроводные замки были уязвимы всегда, с момента своего появления более 30 лет назад, просто производители держали в неведении потребителей насчёт этого факта.
Уязвимые модели: Nortek, Linear, Multi-Code, NSCD, North Shore Commercial Door. Список производителей, которые раньше выпускали уязвимые модели и они ещё в эксплуатации: Chamberlain, Liftmaster, Stanley, Delta-3, Moore-O-Matic.