اختلاف بین سابیرلاک و IOActive بر سر نقاط ضعف امنیتی قفل های الکترونیکی

اسحاق احمد پور
جمعه, 15 خرداد 1394

شرکت سایبرلاک چندی پیش به دلیل وجود نقاط ضعف امنیتی در قفل های الکترونیکی اش مورد انتقاد قرار گرفت.این خبر را یکی از مشاوران امنیتی شرکت IOActive در سیاتل آمریکا اعلام کرد و با انتشار بیانیه ای از وجود حفره های امنیتی بی شمار در قفل های سایبرلاک خبر داد. وی درباره چگونگی پی بردن به این ضعف امنیتی گفت: در بررسی هایی که بر روی قفل های به کار رفته در شهر کوروالیس در غرب ایالت اوراگان انجام دادیم به این مساله پی بردیم.

گفته می شود با وجود هشدارهایی که پیش تر نیز از سوی IOActive به شرکت سازنده قفل در این مورد داده شده بوده، اما شرکت ادعا کرده که در حال حاضر زمان کافی برای بررسی موضوع را ندارد. اولین کسی که به این ضعف پی برد آقای مایک داویس از پژوهشگران IOActive می باشد. وی مدعی شده که پیش تر نیز طی نامه نگاری هایی که با موکلین شرکت IOActive داشته این موضوع را مطرح نموده است.
هنوز مشخص نیست که آیا شرکت سایبرلاک قصد داشته باشد تا دادخواستی را علیه IOActive به دادگاه ارائه دهد یا خیر! و این درست همان چیزی ست که هیچ یک از طرفین تا اواخر روز سه شنبه در مورد آن به نتیجه ای قطعی نرسیدند.
آقای داویس قفل های شرکت سایبرلاک را که ترکیبی از قفل های فیزیکی و کنترل دسترسی الکترونیکی می باشد مورد تجزیه تحلیل قرار داده و گفته: قفل سایبرلاک متشکل از ریز تراشه های جاسازی شده ای ست که مشخص می کنند تنها یک کلید مخصوص الکترونیکی قادر به باز کردن قفل می باشد. گفتنی ست که کلید قفل سایبرلاک می تواند طوری برنامه ریزی گردد که تنها قادر به بازگشایی قفل در ساعات یا تاریخ های خاصی باشد و در مواقع دیگر کار نکند.
بر اساس گزارشات وب سایت شرکت، این قفل ها هم اکنون توسط مشتریان زیادی از قبیل پایانه مترو شهر آمستردام، اداره پست نیوزیلند و سازمان حمل و نقل کلیولند استفاده می گردد.
آقای داویس هم چنین گفت تاکنون سه مشکل دیگر نیز در این قفل ها پیدا کرده ایم.
وی ادامه داد "با استفاده از مهندسی معکوس به این موضوع پی بردیم که قفل به راحتی قابل کپی برداری هستند، و این کار را می توان بدون در نظر گرفتن مجوز استفاده از کلید و از طریق سیلندرهای خراب قفل انجام داد. او هم چنین افزود "می توان بدون در نظر گرفتن محدودیت های اعمال شده بر روی قفل مبنی بر قابل استفاده بودن در روزهای خاص و با استفاده از سیلندرهای خراب شده آن را بدون داشتن کلید دور زد، و همین امر به هکرها اجازه خواهد داد تا بر خلاف زمان های تنظیم شده بر روی قفل، در هر بازه زمانی بتوانند اقدام به بازگشایی قفل نمایند."
IOActive هم چنین به این موضوع پی برده است که می توان از طریق فرم ور (firmware) قفل مربوطه نیز اقدام به کپی برداری کلید نمود. این کار که از طریق قطع نمودن موقت مدار ارتباطاتی کلید قبلی با قفل انجام می شود می تواند در نهایت منجر به ساخت کلید جدید برای قفل گردد. گفتنی ست که کدهای مربوط به کلید سایبرلاک در فایلی متنی و رمزنگاری شده بر روی خود قفل ذخیره و نگهداری می شوند.
روز دوشنبه وکیل مدافع پرونده یاد شده در نامه ای به سایبرلاک خواهان دسترسی این شرکت به تجهیزات پیچیده و آزمایشگاه های IOActive شد، که در نهایت با جواب منفی روبرو گشت. سایبرلاک اذعان داشت که تنها متخصصین فنی خود شرکت اجازه دسترسی به آزمایشگاه را دارند، و برای عموم قابل دسترس نمی باشد. در پاسخ به رد این درخواست نیز، سایبرلاک گفته که دسترسی به نحوه عملکرد قفل با استفاده از مته، یا ریز ریز کردن آن با کمک ابزراهایی چون تبر نیز امکان پذیر است و چه بسا راحت تر هم می باشد.
این شرکت هم چنین از دادن اطلاعات فنی و ریز به IOActive خودداری نموده، و گفته است که شاید IOActive قصد داشته باشد تا از اطلاعاتی که بدست می آورد در بالا بردن اطلاعات کارکنانش بهره برد و یا اقدام به نشر آن نماید.