Smartlås kan ikke opdateres – vil for altid være åben for angreb
Sikkerhedsforskere i finske F-Secure har opdaget, at det er muligt for uvedkommende at aflytte dele af netværkstrafikken mellem smartlåsen KeyWe og mobilappen, som ejerne kan bruge til at låse låsen op med.
Dette gør det muligt for potentielle tyve at opfange det hemmelige password, som kræves for at tage kontrol over låsen.
Dette til trods for, at det oplyses, at kommunikationen mellem lås og app er krypteret med 128 bit AES-teknologi.
Årsagen til, at dette er muligt, er ifølge F-Secure dårlig implementering af de benyttede kommunikationsprotokoller. I teorien kan dette rettes ved at opdatere låsens hardware. Problemet er, at produktet ikke tilbyder en sådan opdateringsmekanisme. Låsen vil dermed være sårbar for angreb, indtil den destrueres.
Let at omgå sikkerheden
Låsen har været på markedet siden 2018 og bliver præsenteret som den smarteste lås nogensinde.
Den er udviklet som et Kickstarter-projekt og sælges blandt andet gennem Amazon, og den er et rigtig godt eksempel på, hvad der kan gå galt, når sikkerheden i et IoT-produkt ikke er helt gennemtænkt.
»Låsen har flere beskyttelsesmekanismer. Desværre gør låsens design det meget let at omgå disse mekanismer for at aflytte meddelelser, som udveksles mellem låsen og appen, hvilket gør den åben for et meget enkelt angreb. Der er ingen måde at stoppe dette på, så at komme ind i hjem, som er beskyttet af denne lås, er et sikkert valg for indbrudstyve, som er i stand til at efterligne hackingen,« siger it-sikkerhedskonsulenten Krzysztof Marciniak fra F-Secure i en pressemeddelelse.
»Det eneste, angriberne behøver, er lidt viden, en enhed, som hjælper dem med at opfange trafikken – noget, som kan købes hos mange forbrugerelektronikbutikker for så lidt som ti dollars – og lidt tid til at finde låsenes ejer,« fortsætter Marciniak.
Han siger endvidere, at sikkerhed ikke er sådan skruet sammen, at ’one size fits all’.
»Det må tilpasses for at tage hensyn til brugeren, omgivelserne, trusselsmodellen og andet. At gøre dette er ikke enkelt, men hvis leverandører af IoT-enheder skal levere produkter, som ikke kan modtage opdateringer, er det vigtigt, at disse enheder bygges til at være sikre fra bunden af,« afslutter Marciniak.
Lover opdatering – til helt nye enheder
Ifølge den tekniske rapport om sårbarheden har leverandøren af låsen været lydhøre, efter at de fik viden om sårbarheden.
Det loves, at sårbarheden skal rettes, og at det skal blive muligt at opdatere smartlåsens hardware, men dette gælder kun fremtidige enheder.
Hvornår disse opdaterede enheder vil være tilgængelige, ved F-Secure ikke.
I mellemtiden fortsætter salget af de sårbare smartlåse, som ikke kan opdateres, tilsyneladende.
Artiklen er fra digi.no.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
