Стартап дня: Proxy идентифицирует пользователей по смартфону и открывает им двери
Чтобы открыть замок, не нужно даже доставать смартфон — он постоянно отправляет сигналы с нужным токеном.
Современный человек не расстаётся со смартфоном, и вполне естественна идея сделать так, чтобы других предметов больше не таскать. Apple Pay и Google Pay избавляют нас от пластиковых карт, а стартап Proxy целится в ключи и электронные пропуска.
Конечный пользователь ставит на телефон приложение. Proxy использует BLE и непрерывно транслирует в окружающее пространство авторизационный токен, электронный замок его «слышит» и открывает дверь.
На демо-роликах это выглядит волшебно: человек не делает ни одного лишнего движения, всё происходит само. Батарейку BLE якобы почти не тратит даже в режиме 24 на 7, не даром же “Low Energy”.
Главный клиент стартапа — офисы, но как раз для них система кажется довольно уязвимой: пока доверенный сотрудник курит у турникета, злоумышленник спокойно проходит внутрь. В промоматериалах ответа на это возражение я не нашёл.
Зарабатывает Proxy на подписке: их замки и интерфейсы к чужим замкам подключаются к интернету и при неоплате превращаются в тыкву. Стоит сервис, на мой вкус, чудовищно дорого. Натыкав случайные параметры «своего» здания, я получил предварительный счёт в $250 за установку и $350 годовой подписки за каждую дверь.
Кроме текущего бизнеса стартап продаёт инвесторам великое будущее — в их видении кроме замков к Proxy подключится всё разнообразие офисных сервисов: вошёл — переговорка забронировалась, вышел — освободилась. Но пока это только красивое видео, никаких реальных сервисов компания не предлагает.
В весеннем раунде стартап привлёк $13,6 млн. Сколько денег ушло за красивый домен, к сожалению, неизвестно.
"Зарабатывает Proxy на подписке: их замки и интерфейсы к чужим замкам подключаются к интернету и при неоплате превращаются в тыкву."
тривиально сделать автономные замки открываемые смартфоном. а то получается как бы ключи у дяди хранить.
Зато сразу понятен вектор атаки.
Пока прошел все "КПП", то уже и 10%
Это будущее из уходящего прошлого, зачем вообще куда то ходить?
Теперь айфон будет разряжаться не за пол дня, а по пути на работу
А почему нельзя его записать?
например токен генерируется как текущее время подписанное ЭЦП. то есть его кража ничего не даст.
Для таких случаев автоугонщики давно придумали удочки.
и что ж это за удочки? двухфакторная аутентификация работает примерно по такому же принципу- токен действителен некоторое время, у гугла кажется 10 минут
Удочка это ретранслятор. Хозяин машины с ключами спит дом, а машина думает что он рядом с ней и открывает двери.
вообще то владелец авто дает команду "открыть двери" нажимая кнопку на брелке. видимо в этот момент происходит что то вроде генерации токена. но как этио возможно если чел спит и кнопку не нажимает
так то "бесключевой доступ". его особенность в том что инициировать начало "открывания" может кто угодно, в том числе и не владелец.
Я имел ввиду кондовый брелок, где надо кнопку жамкать
Ну ясно же, что этот кейс не про нажимание кнопок, про кнопки это вы додумали.
И такой ретранслятор сработает и для смартфона с постоянной сменой ключа, как предлагали вы.
уверены? например если вы подключаетесь по https к банку- "удочка" невозможна. потому что у удильщика нет сертификата на соответствующий домен ( ip адрес по сути синоним домена здесь) .
замок при инициировании связи с ключом-на-смартфоне запрашивает нечто что есть только на смартфоне. аналог сертификата. вроде звучит тривиально, неужели такое не сделано для исключения атак типа "удочка"?
Сертификат нужен, если вы хотите читать незашифрованный трафик, а удочке читать его не надо, она его просто передает как "есть".
Нужно ведь просто сделать вид, что вы рядом с замком, а не взламывать шифрование.
тем не менее - есть момент начала диалога удочки и авто. почему в этот момент не делать проверку что с авто говорит именно ключ а не удочка?
Еще раз, удочка с авто не говорит, говорит ключ. Удочка физически передает радиосигнал туда-обратно, и все.
В примере про https и банк – вашему кабелю локальной сети ведь не нужен сертификат, чтобы вы на сайт банка могли зайти? Удочка это такой вот кабель.
интересно. надо осмыслить. просто это кажется дырой которую ну не могли не заметить разработчики
30 секунд.
Против "удочек" есть защита, но не на базе BLE конечно.
А есши дома забыл? Или у подружки взял?
Комментарий удален модератором