Участница Hardwear.io и S-LS Con, 8 лет прослушиваю эфир — 0 уголовных дел.
Дина радиоинженер-пентестер
Сцена, чтобы настроиться
3 часа 08 минут. Офис-коливинг на Ленинском проспекте. Managers-full-remote, но умный цилиндр August Smart Lock Pro бодро мигает BLE-маячком every 100 мс. Я ставлю рюкзак, включаю RTL-SDR, запускаю btlejack -f 2402 и ловлю первую пару ADV_IND. Через пять минут FitBit-браслет, привязанный у администратора к той же учётке, играет роль «беспроводного пропуска» — дверь щёлкает изнутри без единого механического взлома.
Вывод до чтения: проблема не в «электронных цилиндрах», а в том, что разработчики до сих пор хранят ключи там, где не должен шариться даже кот — в приложении и эфире.
Как BLE-замок «болтает лишнее»
| Пакет | Hex-дамп | Что можно выудить |
|---|---|---|
ADV_IND | 1E 02 01 06 11 07 57 2F… | UUID сервиса + RSSI → фильтр по модели |
CONNECT_REQ | C0 05 00 03 02 … | адрес master/slave, время hop-skipping |
WRITE_REQ | 12 34 00 01 … | если шифрования нет — plain-text PIN |
NOTIFY | 0A 04 00 F0 … | статус замка, battery, иногда geo-тег |
Для тех, кто не дружит с гексовыми оффсетами: первую половину информации отдаёт сам замок, пока вы ищете в сумке ключи.
Три атаки, которые стали рутиной к весне-2025
BLE-Relay «Удлинитель рук»
Комплект: два ESP-32 ($15) + прошивка gatt-relay 3.2.
Схема: одно ESP рядом с жертвой-смартфоном, второе — у двери.
Магия: пакеты пересылаются по Wi-Fi, замок «думает», что телефон рядом.
Время: < 20 с на связку; максимальная дистанция проверена — 1,1 км через LTE.
Взломостойкость Grade 0: если нет секундного таймаута «proximity-check», замок сдаётся.
Hard-coded credentials (casus Chirp Systems)
В апреле 2024-го CISA разразилась алертом: в Android-приложении Chirp Access лежали «как есть» токен разработчика и приватный ключ. Любой, кто распаковал APK, мог дернуть API August и открыть любой из 50 000 квартир-подписчиков.
Fuzzing-«карусель» GATT
Инструмент:
ble-fuzzer.py(часть набора CyCon-2024).Суть: шлём неверные длины характеристик → замок падает в debug-mode с сервисом
0xFFEE→ возвращает текущий PIN.Уязвимы модели на старом SDK Nordic nRF51 (до SDK 15.2).
Полевой кейс: «Фитнес-браслет как мастер-ключ»
| Шаг | Действие | Оборудование | Время |
|---|---|---|---|
| 1 | Скан btlejack -s в холле, ловлю MAC замка | ноут + NRF52840-донгл | 35 с |
| 2 | Подсаживаюсь к охраннику, у него FitBit Versa 3 | Social-hack 🙂 | 2 мин |
| 3 | ESP-relay связывает Versa ↔ замок | 2 × ESP-32 | 50 с |
| 4 | Замок получает WRITE_REQ 0x01 0x01 → open | — | instant |
Итого: < 4 мин, никаких следов бампинга, никакого журнала «wrong PIN» — замок «думал», что видит доверенное устройство.
«Умные» обещания VS хард-реальность
| Обещание маркетолога | Разбор пентестера |
|---|---|
| «AES-256 от хакеров спасёт» | Relay-атака обходит криптографию: передаём пакеты, а не дешифруем |
| «Geo-fencing: дверь не откроется вне зоны» | BLE не знает GPS; проверка идёт по RSSI, обмануть — поменять gain антенны |
| «Поддержка Matter = гарантия безопасности» | Matter регламентирует шифрование, не регламентирует защиту OTA-апдейта; если bootloader дырявый — привет, root-shell |
Что реально усложняет жизнь атакующему
Защита от relay: ультра-wideband (UWB) + time-of-flight; погрешность < 15 см, пока взлом публично не показан.
BLE Secure Connections Only + таймаут 800 мс на процедуру
pairing-confirm.Bootloader с верификацией подписи — чтобы OTA не подменили на кастом-firmware.
Броненакладка класса ES3: да-да, старая добрая сталь, закрывающая доступ к болту.
Шифрование ключей в HSM-чипе (NXP A71CH), а не в флеше микроконтроллера.
Легенды, в которые верят владельцы
| Легенда | Почему мимо |
|---|---|
| «Умный замок покажет alert при взломе» | Relay-канал подаёт корректную авторизацию → журнал чист |
| «Bluetooth Low Energy = малый радиус, значит безопасно» | Передача по Wi-Fi между репитерами может растянуться на километры |
| «Smart Lock сертифицирован по Z-Wave S2, BLE там ни при чём» | 90 % гибридных моделей всё равно держат BLE-радио для OTA и аварийного доступа |
Честный вывод
Bluetooth-замки удобны, но: то, что для пользователя «один тап», для хакера — десяток предсказуемых пакетов. Пока UWB-анчоры и HSM-чипы не станут стандартом, релокатор-ESP и decompiled-APK будут открывать двери быстрее, чем классический отмычник достанет крючок.
