Стартап дня: Proxy идентифицирует пользователей по смартфону и открывает им двери

Чтобы открыть замок, не нужно даже доставать смартфон — он постоянно отправляет сигналы с нужным токеном.

Современный человек не расстаётся со смартфоном, и вполне естественна идея сделать так, чтобы других предметов больше не таскать. Apple Pay и Google Pay избавляют нас от пластиковых карт, а стартап Proxy целится в ключи и электронные пропуска.

Конечный пользователь ставит на телефон приложение. Proxy использует BLE и непрерывно транслирует в окружающее пространство авторизационный токен, электронный замок его «слышит» и открывает дверь.

На демо-роликах это выглядит волшебно: человек не делает ни одного лишнего движения, всё происходит само. Батарейку BLE якобы почти не тратит даже в режиме 24 на 7, не даром же “Low Energy”.

Главный клиент стартапа — офисы, но как раз для них система кажется довольно уязвимой: пока доверенный сотрудник курит у турникета, злоумышленник спокойно проходит внутрь. В промоматериалах ответа на это возражение я не нашёл.

Зарабатывает Proxy на подписке: их замки и интерфейсы к чужим замкам подключаются к интернету и при неоплате превращаются в тыкву. Стоит сервис, на мой вкус, чудовищно дорого. Натыкав случайные параметры «своего» здания, я получил предварительный счёт в $250 за установку и $350 годовой подписки за каждую дверь.

Кроме текущего бизнеса стартап продаёт инвесторам великое будущее — в их видении кроме замков к Proxy подключится всё разнообразие офисных сервисов: вошёл — переговорка забронировалась, вышел — освободилась. Но пока это только красивое видео, никаких реальных сервисов компания не предлагает.

В весеннем раунде стартап привлёк $13,6 млн. Сколько денег ушло за красивый домен, к сожалению, неизвестно.

0
22 комментария
Написать комментарий...
Тимофей Литвинцев

"Зарабатывает Proxy на подписке: их замки и интерфейсы к чужим замкам подключаются к интернету и при неоплате превращаются в тыкву."
тривиально сделать автономные замки открываемые смартфоном. а то получается как бы ключи у дяди хранить.

Ответить
Развернуть ветку
Sergei Timofeyev

Зато сразу понятен вектор атаки.

Ответить
Развернуть ветку
Young Aggressor

Пока прошел все "КПП", то уже и 10%

Ответить
Развернуть ветку
Дмитрий Суконкин

Это будущее из уходящего прошлого, зачем вообще куда то ходить?

Ответить
Развернуть ветку
Kirill Kalachev

Теперь айфон будет разряжаться не за пол дня, а по пути на работу

Ответить
Развернуть ветку
Evil Pechenka
непрерывно транслирует в окружающее пространство авторизационный токен

А почему нельзя его записать?

Ответить
Развернуть ветку
Тимофей Литвинцев

например токен генерируется как текущее время подписанное ЭЦП. то есть его кража ничего не даст.

Ответить
Развернуть ветку
Michael Smith

Для таких случаев автоугонщики давно придумали удочки.

Ответить
Развернуть ветку
Тимофей Литвинцев

и что ж это за удочки? двухфакторная аутентификация работает примерно по такому же принципу- токен действителен некоторое время, у гугла кажется 10 минут

Ответить
Развернуть ветку
Michael Smith

Удочка это ретранслятор. Хозяин машины с ключами спит дом, а машина думает что он рядом с ней и открывает двери.

Ответить
Развернуть ветку
Тимофей Литвинцев

вообще то владелец авто дает команду "открыть двери" нажимая кнопку на брелке. видимо в этот момент происходит что то вроде генерации токена. но как этио возможно если чел спит и кнопку не нажимает

Ответить
Развернуть ветку
Michael Smith
Ответить
Развернуть ветку
Тимофей Литвинцев

так то "бесключевой доступ". его особенность в том что инициировать начало "открывания" может кто угодно, в том числе и не владелец.
Я имел ввиду кондовый брелок, где надо кнопку жамкать

Ответить
Развернуть ветку
Michael Smith

Ну ясно же, что этот кейс не про нажимание кнопок, про кнопки это вы додумали.
И такой ретранслятор сработает и для смартфона с постоянной сменой ключа, как предлагали вы.

Ответить
Развернуть ветку
Тимофей Литвинцев

уверены? например если вы подключаетесь по https к банку- "удочка" невозможна. потому что у удильщика нет сертификата на соответствующий домен ( ip адрес по сути синоним домена здесь) .
замок при инициировании связи с ключом-на-смартфоне запрашивает нечто что есть только на смартфоне. аналог сертификата. вроде звучит тривиально, неужели такое не сделано для исключения атак типа "удочка"?

Ответить
Развернуть ветку
Michael Smith
например если вы подключаетесь по https к банку- "удочка" невозможна. потому что у удильщика нет сертификата на соответствующий домен

Сертификат нужен, если вы хотите читать незашифрованный трафик, а удочке читать его не надо, она его просто передает как "есть".
Нужно ведь просто сделать вид, что вы рядом с замком, а не взламывать шифрование.

Ответить
Развернуть ветку
Тимофей Литвинцев

тем не менее - есть момент начала диалога удочки и авто. почему в этот момент не делать проверку что с авто говорит именно ключ а не удочка?

Ответить
Развернуть ветку
Michael Smith

Еще раз, удочка с авто не говорит, говорит ключ. Удочка физически передает радиосигнал туда-обратно, и все.
В примере про https и банк – вашему кабелю локальной сети ведь не нужен сертификат, чтобы вы на сайт банка могли зайти? Удочка это такой вот кабель.

Ответить
Развернуть ветку
Тимофей Литвинцев

интересно. надо осмыслить. просто это кажется дырой которую ну не могли не заметить разработчики

Ответить
Развернуть ветку
Evil Pechenka
у гугла кажется 10 минут

30 секунд.

Ответить
Развернуть ветку
Злой Полушубок

Против "удочек" есть защита, но не на базе BLE конечно.

Ответить
Развернуть ветку
Цой жив

А есши дома забыл? Или у подружки взял?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
19 комментариев
Раскрывать всегда