Zhou menambahkan dalam pernyataannya bahwa Securam akan memperbaiki kerentanan yang ditemukan Omo dan Rowley pada model ProLogic masa depan. "Keamanan pelanggan adalah prioritas kami, dan kami telah memulai proses pengembangan produk generasi baru untuk mengatasi serangan potensial ini," tulisnya. "Kami berharap dapat meluncurkan kunci baru di pasaran sebelum akhir tahun."
Foto: Ronda Churchill
Dalam panggilan lanjutan, Jeremy Brookes, direktur penjualan Securam, mengonfirmasi bahwa mereka tidak berencana memperbaiki kerentanan pada kunci yang sudah digunakan pelanggan. Ia menyarankan pemilik brankas yang khawatir untuk membeli kunci baru dan menggantinya. "Kami tidak akan menyediakan pembaruan firmware," kata Brookes. "Kami akan menawarkan produk baru."
Brookes juga menyatakan bahwa Omo dan Rowley "sengaja menyoroti Securam" dengan tujuan "mendiskreditkan" perusahaan.
Omo membantah tuduhan tersebut. "Kami hanya ingin memperingatkan publik tentang kerentanan pada salah satu kunci brankas paling populer di pasaran," ujarnya.
Peringatan Seorang Senator
Menurut penelitian Omo dan Rowley, kunci Securam ProLogic tidak hanya digunakan Liberty Safe, tetapi juga berbagai produsen lain seperti Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists, serta perusahaan farmasi Cennox dan NarcSafe. Kunci ini juga dipakai di brankas CVS untuk menyimpan narkotika dan rantai restoran AS untuk menyimpan uang tunai.
Ini bukan pertama kalinya keamanan kunci Securam dipertanyakan. Bulan Maret tahun lalu, senator AS Ron Wyden menulis surat terbuka kepada Michael Casey, mantan direktur National Counterintelligence and Security Center, memperingatkan bahwa kunci Securam—dimiliki perusahaan China—memiliki fitur reset pabrik. Wyden menulis bahwa fitur ini bisa menjadi backdoor, sehingga kunci Securam dilarang digunakan pemerintah AS, meski masih dipakai perusahaan swasta.
Menanggapi temuan Omo dan Rowley, Wyden menyatakan bahwa risiko backdoor—baik di brankas atau perangkat lunak—persis seperti yang ia peringatkan sebelumnya. "Para ahli telah memperingatkan bahwa backdoor akan dimanfaatkan lawan, tapi pemerintah malah membiarkan publik rentan," tulisnya. "Inilah mengapa Kongres harus menolak tuntutan backdoor dalam teknologi enkripsi dan melawan upaya pemerintah lain, seperti Inggris, yang memaksa perusahaan AS melemahkan enkripsi demi pengawasan pemerintah."
ResetHeist
Penelitian Omo dan Rowley berawal dari kekhawatiran bahwa metode membuka brankas yang jarang diungkap bisa menjadi risiko keamanan serius. Awalnya, mereka menyelidiki mekanisme backdoor Liberty Safe yang memicu kontroversi tahun 2023. Mereka menemukan bahwa Liberty Safe menyimpan kode reset untuk setiap brankas dan dalam beberapa kasus membagikannya ke penegak hukum.
Liberty Safe kemudian mengumumkan di situsnya bahwa kini mereka memerlukan surat perintah pengadilan untuk memberikan kode master dan akan menghapusnya jika diminta pemilik.
Omo dan Rowley semula ingin mengungkap kerentanan Securam setahun lalu, tetapi menunda karena ancaman hukum.
Mereka tidak menemukan celah yang bisa menyalahgunakan backdoor untuk penegak hukum. Namun, saat meneliti versi high-end kunci Securam ProLogic, mereka menemukan sesuatu yang menarik: reset method yang tercantum di manual, dirancang untuk membantu pemilik brankas yang lupa kode.
Masukkan "recovery code" (default: "999999"), lalu kunci akan memproses nilai tersebut bersama encryption code dan variabel acak untuk menampilkan kode di layar. Locksmith terdaftar bisa menghubungi Securam via telepon, yang kemudian menggunakan algoritma rahasia untuk menghasilkan kode reset. Kode ini memungkinkan penggantian kombinasi baru.