Nuki智慧型鎖安全性分析

nuki智慧型鎖，可以將手機變成智慧型鑰匙。nuki只要接入網路之後，在任何時間、任何地點都可以通過遠端控制的方式開啟大門。比如可以在家裡沒人的情況下，為快遞員開門，讓它將包裹放到家裡之後再離開，還可以隨時了解家人孩子回家的動態。同時還可以設定臨時開鎖密碼，為客人提供臨時訪問許可權。

由於nuki智慧型鎖是把裝置中nuki lock通過橋接裝置（bridge）整合到智慧型模組中的，所以這款智慧型門鎖主要是通過藍芽和無接wif進行遠端操作的。為此在本文中，我們將把nuki lock (version 1) 和bridge (version 4)分開進行介紹，深入研究這兩個裝置內部的功能。

nuki lock

在2023年11月，nuki發布了他們的智慧型鎖2.0版本。這款智慧型門鎖支援藍芽bluetooth 5 le，zigbee協議（一種低速短距離傳輸的無線網上協議，底層是採用ieee 802.15.4標準規範的**訪問層與物理層）和智慧型門鎖感測器。智慧型鎖2.0版本保留了之前版本的關鍵屬性。隨著新版本的發布，原來的鎖已經可以被公開破解了，因為它已沒有安全保密性可言了。中國菜刀

通過上圖，我們可以很清晰地看到，要把那麼多不同的模組整合到nuki lock是件多麼難辦的事情。我們把後面的螺母螺釘拆除，發現裡面的按鈕，pcb和資料匯流排形成了乙個單獨的部件模組，首先必須將這些小部件斷開，在鑰匙槽的底部發現有兩個螺釘將這些小部件固定在了一起，於是拆下小螺釘，拆開後，在nuki門鎖中發現如下部件。

1.塑料外殼，蓋子和電池座；

2.鑰匙槽是帶齒輪齒的單獨圓形塑料件，帶有led和四個按鈕的pcb連線到它上面。這四個按鈕由塑料件組合成乙個，由兩個軟彈簧固定。因此，需要牢固地按下鎖定按鈕，因為它僅在pcb上的四個按鈕被啟用時才會記錄。該pcb具有到主機板的小資料匯流排，必須斷開。

3.在機箱的主體中，在拆下幾個螺釘後可拆開，我們發現：

3.1主電機，沿橡膠圈纏繞；

3.2一種齒輪機構，用於將電機的快速運動轉換為緩慢但強大的動力，從而轉動鑰匙旋鈕。兩個齒輪通過兩個小金屬桿固定到位，，這兩個金屬棒與塑料外殼的整體相吻合；

3.3伺服電動機連線到槓桿和齒輪，齒輪根據需要將齒輪嚙合到旋轉鍵鈕。通常情況下，機構未嚙合，旋鈕可以用手自由轉動。在彈簧的幫助下，齒輪脫離到其靜止位置；

3.4主機板pcb和它下面的電源轉換器；

3.5用於固定和連線電池的部件，以及安裝在門上的旋鈕；天空彩

大多數齒輪在第一次拆卸鎖時就會拆開，需要反覆試驗才能把它們重新組裝起來，最棘手的部分是連線到控制旋鈕的伺服器上的槓桿系統。

我們可以從主pcb上觀察到智慧型鎖的核心是cypress cy8c4248lqi-bl483，這是乙個藍芽4 ble模組。我們還觀察到ssd記憶體晶元（2mb adesto at25sd161）和乙個5引腳埠，假設它們連線到晶元的序列引腳並用於除錯。在測試中，我們觀察到它們沒有在我們的裝置中使用，即使乙個引腳對應3.3v輸出而另乙個接地，也沒有被使用的跡象。

在重新組裝期間，我們不得不重新焊接其中一根電機線，因為它們很薄並且容易斷裂。在所有部件中，電機的壽命可能是最短的，但是更換應該很簡單。

網橋（bridge）裝置

nuki internet bridge通過wifi為smart lock提供連線和遠端訪問，通過連線到本地網路，它為應用程式提供了乙個http api來整合(比藍芽api更簡單)，並且還可以通過nuki應用程式或nuki web介面控制來自任何地方的鎖。

該裝置是乙個簡單得多的硬體，下圖就是乙個連線到功率轉換器的pcb:

該wifi由espressif esp-wroom 02提供，這是流行的esp8266的乙個版本，帶有整合的2mb快閃儲存器。

Nuki智慧型鎖安全性分析

JSONP安全性分析

scanf安全性分析

4A安全性分析

Nuki智慧型鎖安全性分析

JSONP安全性分析

scanf安全性分析

4A安全性分析

相關推薦