Fechaduras são relativamente fáceis de abrir se você já passou tempo suficiente dominando a habilidade. Mas os pesquisadores da Universidade Nacional de Cingapura acabaram de tornar isso ainda mais fácil. Usando um smartphone para gravar som, você pode capturar todas as informações de que precisa para copiar uma chave.

A vulnerabilidade — embora seja mais um caso de tecnologia moderna comprometendo uma tecnologia defasada — foi descoberta pelo pesquisador de sistemas ciberfísicos Soundarya Ramesh e uma equipe da Universidade Nacional de Cingapura. O ataque, chamado de SpiKey, funciona nas chamadas fechaduras de tambor de pinos, que são abertas com uma chave com um padrão de dentes exclusivo.

Conforme a chave desliza para dentro da fechadura, os dentes empurram seis pinos de metal com mola para diferentes alturas. Quando todos estão devidamente alinhados, permitem que o tambor gire, abrindo a fechadura. Eles são um dos tipos mais comuns de fechaduras, usadas ​​em tudo, de portas a cadeados, o que torna esse ataque especialmente preocupante.

Imagem: Universidade Nacional de Cingapura

Para abrir uma fechadura de pino sem a chave, um chaveiro usa um conjunto especializado de ferramentas para ajustar manualmente a altura de cada pino, um por um, até descobrir o arranjo exclusivo necessário para o tambor girar. A técnica SpiKey é muito mais fácil e requer pouca ou nenhuma habilidade especial além dos prós e contras de operar uma impressora 3D.

A equipe de pesquisa descobriu que os sons que os dentes de uma chave fazem ao colidir com os pinos quando entra na fechadura e o intervalo entre cada clique metálico podem ser analisados ​​e submetidos a um processo de engenharia reversa para determinar a forma do chave, ou pelo menos uma correspondência próxima. Enquanto uma fechadura de seis pinos tem algo próximo a 330 mil formas de chave possíveis, o ataque SpiKey pode reduzir isso a apenas três, que são relativamente fáceis de trabalhar e testar rapidamente.

Um espectrograma dos sons que uma chave faz ao deslizar para uma fechadura e fazer contato com os pinos internos. Captura de tela: Universidade Nacional de Cingapura

Existem alguns desafios para a técnica, no entanto. O software SpiKey tem alguma correção de erro embutida, mas geralmente requer que uma chave seja inserida em uma fechadura em uma velocidade constante para que os sons gravados sejam analisados ​​e que a engenharia reversa seja feita com sucesso. Se você está preocupado com alguém usando a técnica para entrar em sua casa, a partir de agora apenas use movimentos irregulares e agitados ao inserir sua chave na fechadura.

O invasor também precisa estar muito próximo da fechadura se estiver usando um smartphone para gravar os sons e obter de áudio fidelidade suficiente para que o software faça seu trabalho adequadamente — menos de dez centímetros de distância, o que torna a execução de um ataque secreto usando SpiKey muito desafiadora.

Mas os pesquisadores sugerem que um malware instalado no smartphone de uma vítima pode ser usado para gravar uma fechadura abrindo. Uma campainha inteligente, muitas vezes montada ao lado de uma porta, também pode ser comprometida e usada para capturar os sons necessários.

Isso partindo do pressuposto que a área ao redor seja relativamente silenciosa, sem trânsito intenso ou outros sons que possam comprometer a gravação. Não é um ataque infalível, pelo menos até o momento. Então, por enquanto, você pode facilmente manter-se seguro apenas cantando “Don’t Stop Believin'”, do Journey, a plenos pulmões toda vez que chegar em casa e destrancar a porta da frente — supondo que você ainda não faz isso.