蓝牙保险箱惊爆安全漏洞：制造商已发布固件修复补丁

2017-12-12 09:29

Vaultek 是一家制造用于存放贵重物品和枪支弹药的“蓝牙连接保险箱”的厂商，然而该公司最近却遇到了一件很尴尬的事情 —— 它们的产品竟然存在蓝牙安全漏洞。其实早在去年的时候，外媒就已经提到过“众包物联网设备有着令人担忧的不安全性”。近日，安全企业 Two Six Labs 就挑了 Vaultek 的一台联网保险箱下手，演示了它的安全性到底有多脆弱。

这台保险箱的具体型号为 Vaultek VT20i，用户可以通过 PIN 码或配套的一款 Android app 来解锁它。

问题在于，该 app 竟然使用了与 PIN 码相同的配对码，且允许无限次数的尝试！也就是说，在实验室环境下，我们可以编写一个程序来暴力破解该保险箱的密码。

此外，研究人员发现手机和保险箱之间并未采用加密保护的连接（与 Vaultek 的宣传相悖），意味着信息可以被别有用心的人所截取。

最后，他们发现保险箱并不会验证来自已配对手机的 PIN 码。在这种情况下，大家可以用正确、或者不正确的 PIN 码来解锁。