中企生产电子锁存安全漏洞美数秒内破解-墙外头条

美国安全研究人员发现，广泛运用于美国保险箱的电子锁Securam Prologic锁存在两个重大安全漏洞，可在数秒内被破解。

Securam Prologic锁是一家总部位于中国南京、名为“东屋电气”的中国企业生产的。这些锁被广泛运用于美国Liberty Safe、Fort Knox、High Noble、FireKing等保险箱，用于个人枪支、零售现金及药房麻醉品的储存。美国多家餐厅连锁店及CVS药房也使用这类锁。

根据Wired媒体周五（8月8日）的报道，两位研究人员詹姆斯‧罗利（James Rowley）和马克‧奥莫（Mark Omo）在拉斯维加斯举行的Defcon黑客大会上首次公开了对保险箱电子锁的研究成果，并在台上示范了两种不同的方法，打开配备Securam ProLogic锁具的电子保险箱。

他们表示，利用Securam Prologic锁的“恢复码”（预设为999999）及锁内储存的加密码，通过逆向工程锁的固件，研究人员可自行计算出重设码，无需特殊硬体即可开锁。

此外，通过移除锁的电池并使用自制工具连接到锁的隐藏除错端口，也可提取“超级码”直接开锁。

根据Wired的采访，罗利和奥莫在2024年春天首次将他们的研究通知Securam，但遭到对方法律威胁。直到他们收到电子前哨基金会（EFF）的法律支援，才决定继续推行研究，在2025年Defcon大会上公开Securam电子锁的漏洞。

他们说，他们一直非常谨慎，避免透露太多技术细节以免被滥用，同时试图向保险箱用户发出警告，他们的许多设备中都存在两个不同的漏洞。

他们表示，公开研究的目的是提醒用户电子保险箱可能并不安全，并推动Securam等公司改进产品安全。

Securam公司称漏洞已被业界熟知

Securam公司执行长周春雷（Chunlei Zhou）否认漏洞的严重性，称这些“漏洞”已被业界熟知，且同样影响到其它适用类似芯片的保险箱锁供应商。

他还说，利用这些漏洞攻击需要专业知识与设备才能执行，他们没有收到一起保险箱锁被破坏的客户报告。

随后，周春雷补充说，Securam计划在未来型号中修复两位美国研究人员发现的漏洞，但不打算为现有锁提供固件更新，仅建议用户更换新锁。

根据中国大陆媒体对Securam母公司东屋电气董事长闵浩的采访，从2008年开始，该公司陆续与美国知名保险箱企业达成合作，在美国高安全锁具市场占据较高市场份额。

此外，该公司的高安全箱柜控制器系列产品涵盖民用和商用产品以及专为政府及国防部门使用的高安全产品，共计一百多个品种。

在中国国内，该公司与中国农业银行、中国工商银行、中国交通银行、招商银行等一百二十多家银行、金融机构均有长期合作。在国外，产品销往美国、欧洲、澳洲、东南亚和中东等四十多个国家和地区。

美国参议员罗恩‧怀登（Ron Wyden）2024年3月已警告，Securam（母公司为中国）生产的保险箱锁具有制造商重设功能，该功能可能被用作后门，呼吁禁止其在政府使用。

怀登在给Wired的声明中说，最新的研究发现恰恰代表了Securam的后门风险——无论是在保险箱中还是在加密软件中。

怀登表示，专家一直警告说，后门会被美国的对手利用，国会必须拒绝在加密技术中开设新后门的呼声，并抵制其它任何形式的后门攻击。

研究人员强调，电子锁的电子元件难以完全确保安全，凸显美国消费产品网络安全标准的不足。

根据Securam的介绍，他们的锁通过了美国Underwriters Laboratory认证。但本次发现的重大漏洞可能显示该认证标准也存在一定的局限性。

保险箱High Noble Safe Company的发言人在一份声明中写道，这是该公司首次获悉Securam的漏洞，目前该公司正在审查其产品线所用锁具的安全性，并为客户制定指导方针，包括“额外的物理安全措施或潜在的替代方案”。

Liberty Safe的一位代表也指出，该公司先前并不知道Securam的漏洞。发言人在一份声明中写道：“我们目前正在与Securam一起调查此问题，并将尽一切努力保护我们的客户，包括验证其它潜在的锁具供应商并开发新的专有锁具系统。”

“我们希望Securam能解决这个问题，但更重要的是，我们希望人们知道这有多严重。”研究人员奥莫最后说，“电子锁里面有电子元件。而电子元件很难保证安全。”