eLinkSmart 挂锁存在多个漏洞

介绍

锁是我们日常生活中的伙伴，它帮助我们抵御入侵的恐惧。在一些地方，普通的锁正逐渐被智能锁取代——智能锁内嵌电子设备，可以实现无钥匙进入。然而，强大的功能伴随着巨大的责任——确保新功能不会以牺牲安全性为代价。这篇博文深入探讨了英国和德国流行的一系列智能锁的安全隐患。

这项工作的重点是 eLinkSmart 系列蓝牙锁。之所以选择这款挂锁，是因为该品牌在亚马逊首页上很显眼，在撰写本文时，英国搜索“蓝牙挂锁”的前五个结果都是 eLinkSmart 产品。此外，所有这些产品都获得了高度评价，有数千条评论在四到五星之间，而且价格相当实惠。

在锁具的低功耗蓝牙 (BLE) 通信实现和 eLinkSmart 的后端 API 之间发现了几个漏洞。这些漏洞使攻击者能够解锁蓝牙范围内的任何锁具，并收集解锁历史信息，包括世界上任何锁具的时间和位置，即使用户未启用位置跟踪。

目标锁定

这项研究的最初重点是 eLinkSmart YL-P10BF 锁，这是测试时亚马逊上“蓝牙挂锁”搜索结果中最高的一款。这款锁的售价约为 50 英镑，宣传为“大型重型锁”，重达 360 克，金属机身坚固。它宣传三种主要解锁技术：使用应用程序通过蓝牙解锁、使用指纹传感器解锁以及使用随附的两把钥匙之一解锁。

在物理安全性方面，它有一个滚珠轴承锁定机制。锁本身由一个带有十个移动元件的滑动锁和一个内部电机组成。锁钩本身是 0.7 厘米厚的未硬化不锈钢，在中档断线钳的考验下可能不会持续很长时间，尽管这对于消费级挂锁来说是正常的。总的来说，它显然已经尝试防御最常见的物理攻击。

需要一款名为“eSmartLock”的移动应用程序与锁进行交互。首先需要在 eLinkSmart 注册一个帐户，然后才能将出厂状态下的锁绑定到该帐户。从那里，帐户可以添加或删除指纹、使用应用程序解锁、查看解锁记录（指纹和应用程序解锁）、修改锁上的设置，以及授权其他用户使用该应用程序解锁。重要的是，锁设置包括位置跟踪。启用后，应用程序会记录手机的当前位置，然后将其包含在解锁记录中。

随着时间的推移，我们测试了同一制造商生产的更多锁具。评估的具体型号如下：

• YL-P10BF

• YL-P8BF

• YL-P5BF

图 1：经过测试的 eLinkSmart 锁。从左到右：YL-P10BF、YL-P8BF、YL-P5BF。

目标和方法

该项目的目标是找出亚马逊（一家领先的在线商店）中一系列高评价 BLE 智能锁之间的共同漏洞。另一个目标是尝试创建一种可应用于类似产品的一致方法。

评估锁所采用的方法如下：

• 拦截应用程序和锁之间的任何无线通信。

• 反编译应用程序来对协议进行逆向工程。

• 使用这些来了解完整的身份验证链，并尝试找到任何潜在的弱点。

• 发动攻击并评估影响。

拦截无线通信

使用的工具：

• nRF52840加密狗

• 用于蓝牙 LE 的 nRF 嗅探器

• Wireshark

• Burp 套件

链中的第一个环节是 BLE 通信。为了分析通信，我们使用了 Nordic Instruments 加密狗及其 nRF Sniffer 软件（旨在拦截 BLE），以及 Wireshark（一种常见的数据包分析工具，嗅探软件就是为此编写的）。设置监控接口后，执行了许多操作并记录了数据包。以下是锁和手机之间的示例交换：

电话 -> 智能锁： 1000cbf505019d56631b5b12b078a63b188b
智能锁 -> 电话： 10004f6cb20b470cb1c0d6d2550b62015937 电话 -> 智能锁：2000a315ba1d0a31c1f3e75402909cc6442a2918
电话
- > 智能锁： 40c9a49e86ba276f9cc6343d116f
智能锁 -> 电话：1000247e030ac9fce1ea0b0870d7dec4fe10电话
-> 智能锁： 30002540b5073440622296c1f9102c385a7fcb8c
电话 -> 智能锁： 6c462f1db670c0dd2494f0fe4fd583e75d867dde
电话 - > 智能锁： ffc76c19148e30f86e74

这些消息的结构是，长消息被分成多个数据包，消息的前两个字节表示长度。这些消息本身都具有两个共同特征，强烈表明使用了加密：

• 它们看上去都是随机的。

• 长度都是 16 的整数倍