译者: 山有木
原文：
www.somersetrecon.com/blog/2016/6/7/electronic-safe-lock-analysis-part-1-teardown
发布日期：2016.06.08
翻译日期：2017.01.01

电子安全锁分析:第一部分-拆卸



背景介绍
随着物联网的飞速发展及便捷时代的到来，电子锁正在成为一种大众化的设备，它可以应用在保险柜，家庭器具、商业场所，甚至是一些简易的手持设备上。在过去几十年对传统机械锁的严格测试中，电子锁一直被认为是一个陌生的领域。成立于2006年的东屋电气有限公司（SecuRam）专门设计了为个人、商业、企业、ATM和银行金库等行业用的锁。他们的许多产品通过了保险商实验室（UL）的最高安全级别（UL Type-1）认证。这些锁包含了诸如生物信息扫描、WiFi功能，低耗能蓝牙和移动应用程序的交互等特性。尽管这些特性令操作更为便利，但未必能强化产品自身的安全性。因此我们决定对几种SecuRam的设备进行分析来观察他们是怎样工作的，并看看这些设备是否存在潜在的安全漏洞。

设备如何运作
下面将演示拆卸SecuRam ProLogic 0601a-b01输入电路板和SecuRam el-0701锁体的过程。输入端允许用户输入一个6位数的PIN号码。当输入正确时，输入端向处于保险箱内部的锁体发送一个电信号。锁体将收回螺栓，允许保险箱被打开。输入端除除支持蓝牙通信外，还支持通过iOS或Android的应用程序进行控制。

拆卸



该输入端电路板正面有一个9V的电池及一个10针调试接口连接（J1）。



电路板背面的版面上有一个主单片机（一款Renesas78K0系列的单片机，型号：μpd78f0515a（U1））。它内置了 NXP qn902x SOC（U6） 低耗蓝牙通信芯片。还有键盘头引脚（P1）和4针串行接口（P3; 上图四个小点的白框）等外围设备，锁体也位于此侧。此串行接口既可用于与外部通信，又可将电信号传送到锁体。还有几个闲置的空间(U2,U4 BAT1),这些控件可能是之前用于调试,或者曾经在这块电路板上安装过其他组件。



正面的锁体电路板使用了一个简单的RenesasμPD78F9234单片机(U1)。目前仅发现其通过4-pin串行通信接口(JP1)与输入键盘相连,还有另一个靠近4-pin串行接口的串行接口(JP2)，这个接口被锁体的外壳隐藏了起来。此外在单片机上被隐藏的还有一个与14-pin连接的2-pin连接器(P1)。功能未知。



锁体电路板的背面露出了一个8针调试接口（J1；在贴纸下面）和硬件复位按钮（SW1）。如果设备由于未知原因使锁体和键盘同步出错，复位按钮可以使锁体和键盘“重新连接”。复位按钮也可用于将预先设置好的锁体与新的输入键盘连接。



锁体是系统的唯一机械部分.。它由一个直流电机和螺栓组成。如果将5伏特的电压施加在红黄线上，则直流电机收回螺栓并允许打开锁体。

结论

通过观察锁体和键盘，我们能够深入了解设备是如何运行的。这些额外的信息能提供探索电子锁安全性和潜在漏洞等方面的线索。在博客文章的第2部分中，我们将讨论更深入的设备安全分析和一些我们发现的漏洞。

在Twitter上关注我们@SomersetRecon可以获得本系列的下一文章。

班级同学的第一次翻译，欢迎大家指出翻译中错误的地方~
附：第二部分Green奇的译文链接：http://bbs.pediy.com/showthread.php?t=214780

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课