【大紀元2025年08月10日訊】(大紀元記者林燕編譯報導)美國安全研究人員發現,廣泛運用於美國保險箱的電子鎖Securam Prologic鎖存在兩個重大安全漏洞,可在數秒內被破解。
Securam Prologic鎖是一家總部位於中國南京、名為「東屋電氣」的中國企業生產的。這些鎖被廣泛運用於美國Liberty Safe、Fort Knox、High Noble、FireKing等保險箱,用於個人槍枝、零售現金及藥房麻醉品的儲存。美國多家餐廳連鎖店及CVS藥房也使用這類鎖。
根據Wired媒體週五(8月8日)的報導,兩位研究人員詹姆斯‧羅利(James Rowley)和馬克‧奧莫(Mark Omo)在拉斯維加斯舉行的Defcon駭客大會上首次公開了對保險箱電子鎖的研究成果,並在台上示範了兩種不同的方法,打開配備Securam ProLogic鎖具的電子保險箱。
他們表示,利用Securam Prologic鎖的「恢復碼」(預設為999999)及鎖內儲存的加密碼,通過逆向工程鎖的固件,研究人員可自行計算出重設碼,無需特殊硬體即可開鎖。
此外,通過移除鎖的電池並使用自製工具連接到鎖的隱藏除錯端口,也可提取「超級碼」直接開鎖。
根據Wired的採訪,羅利和奧莫在2024年春天首次將他們的研究通知Securam,但遭到對方法律威脅。直到他們收到電子前哨基金會(EFF)的法律支援,才決定繼續推行研究,在2025年Defcon大會上公開Securam電子鎖的漏洞。
他們說,他們一直非常謹慎,避免透露太多技術細節以免被濫用,同時試圖向保險箱用戶發出警告,他們的許多設備中都存在兩個不同的漏洞。
他們表示,公開研究的目的是提醒用戶電子保險箱可能並不安全,並推動Securam等公司改進產品安全。
Securam公司稱漏洞已被業界熟知
Securam公司執行長周春雷(Chunlei Zhou)否認漏洞的嚴重性,稱這些「漏洞」已被業界熟知,且同樣影響到其它適用類似芯片的保險箱鎖供應商。
他還說,利用這些漏洞攻擊需要專業知識與設備才能執行,他們沒有收到一起保險箱鎖被破壞的客戶報告。
隨後,周春雷補充說,Securam計劃在未來型號中修復兩位美國研究人員發現的漏洞,但不打算為現有鎖提供固件更新,僅建議用戶更換新鎖。
根據中國大陸媒體對Securam母公司東屋電氣董事長閔浩的採訪,從2008年開始,該公司陸續與美國知名保險箱企業達成合作,在美國高安全鎖具市場占據較高市場份額。
此外,該公司的高安全箱櫃控制器系列產品涵蓋民用和商用產品以及專為政府及國防部門使用的高安全產品,共計一百多個品種。
在中國國內,該公司與中國農業銀行、中國工商銀行、中國交通銀行、招商銀行等一百二十多家銀行、金融機構均有長期合作。在國外,產品銷往美國、歐洲、澳洲、東南亞和中東等四十多個國家和地區。
參議員呼籲政府保險箱停用Securam鎖
美國參議員羅恩‧懷登(Ron Wyden)2024年3月已警告,Securam(母公司為中國)生產的保險箱鎖具有製造商重設功能,該功能可能被用作後門,呼籲禁止其在政府使用。
懷登在給Wired的聲明中說,最新的研究發現恰恰代表了Securam的後門風險——無論是在保險箱中還是在加密軟件中。
懷登表示,專家一直警告說,後門會被美國的對手利用,國會必須拒絕在加密技術中開設新後門的呼聲,並抵制其它任何形式的後門攻擊。
研究人員強調,電子鎖的電子元件難以完全確保安全,凸顯美國消費產品網絡安全標準的不足。
美保險箱公司回應
根據Securam的介紹,他們的鎖通過了美國Underwriters Laboratory認證。但本次發現的重大漏洞可能顯示該認證標準也存在一定的局限性。
保險箱High Noble Safe Company的發言人在一份聲明中寫道,這是該公司首次獲悉Securam的漏洞,目前該公司正在審查其產品線所用鎖具的安全性,並為客戶制定指導方針,包括「額外的物理安全措施或潛在的替代方案」。
Liberty Safe的一位代表也指出,該公司先前並不知道Securam的漏洞。發言人在一份聲明中寫道:「我們目前正在與Securam一起調查此問題,並將盡一切努力保護我們的客戶,包括驗證其它潛在的鎖具供應商並開發新的專有鎖具系統。」
「我們希望Securam能解決這個問題,但更重要的是,我們希望人們知道這有多嚴重。」研究人員奧莫最後說,「電子鎖裡面有電子元件。而電子元件很難保證安全。」
責任編輯:林妍#
留言