Smartlås kan ikke opdateres – vil for altid være åben for angreb

Bekvemmelighed kommer altid på bekostning af sikkerheden, mener F-Secure.

Sikkerhedsforskere i finske F-Secure har opdaget, at det er muligt for uvedkommende at aflytte dele af netværkstrafikken mellem smartlåsen KeyWe og mobilappen, som ejerne kan bruge til at låse låsen op med.

Dette gør det muligt for potentielle tyve at opfange det hemmelige password, som kræves for at tage kontrol over låsen.

Dette til trods for, at det oplyses, at kommunikationen mellem lås og app er krypteret med 128 bit AES-teknologi.

Årsagen til, at dette er muligt, er ifølge F-Secure dårlig implementering af de benyttede kommunikationsprotokoller. I teorien kan dette rettes ved at opdatere låsens hardware. Problemet er, at produktet ikke tilbyder en sådan opdateringsmekanisme. Låsen vil dermed være sårbar for angreb, indtil den destrueres.

Let at omgå sikkerheden

Låsen har været på markedet siden 2018 og bliver præsenteret som den smarteste lås nogensinde.

Den er udviklet som et Kickstarter-projekt og sælges blandt andet gennem Amazon, og den er et rigtig godt eksempel på, hvad der kan gå galt, når sikkerheden i et IoT-produkt ikke er helt gennemtænkt.

»Låsen har flere beskyttelsesmekanismer. Desværre gør låsens design det meget let at omgå disse mekanismer for at aflytte meddelelser, som udveksles mellem låsen og appen, hvilket gør den åben for et meget enkelt angreb. Der er ingen måde at stoppe dette på, så at komme ind i hjem, som er beskyttet af denne lås, er et sikkert valg for indbrudstyve, som er i stand til at efterligne hackingen,« siger it-sikkerhedskonsulenten Krzysztof Marciniak fra F-Secure i en pressemeddelelse.

»Det eneste, angriberne behøver, er lidt viden, en enhed, som hjælper dem med at opfange trafikken – noget, som kan købes hos mange forbrugerelektronikbutikker for så lidt som ti dollars – og lidt tid til at finde låsenes ejer,« fortsætter Marciniak.

Han siger endvidere, at sikkerhed ikke er sådan skruet sammen, at ’one size fits all’.

»Det må tilpasses for at tage hensyn til brugeren, omgivelserne, trusselsmodellen og andet. At gøre dette er ikke enkelt, men hvis leverandører af IoT-enheder skal levere produkter, som ikke kan modtage opdateringer, er det vigtigt, at disse enheder bygges til at være sikre fra bunden af,« afslutter Marciniak.

Lover opdatering – til helt nye enheder

Ifølge den tekniske rapport om sårbarheden har leverandøren af låsen været lydhøre, efter at de fik viden om sårbarheden.

Det loves, at sårbarheden skal rettes, og at det skal blive muligt at opdatere smartlåsens hardware, men dette gælder kun fremtidige enheder.

Hvornår disse opdaterede enheder vil være tilgængelige, ved F-Secure ikke.

I mellemtiden fortsætter salget af de sårbare smartlåse, som ikke kan opdateres, tilsyneladende.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Bjarke Jensen

Se f.eks. https://www.youtube.com/watch?v=q5hkOPKd9bw og andre videoer fra Lockpicking Lawyer :-)

Jeg har ikke fulgt den lanal fast, men det er mit indtryk at han endnu ikke er stødt på en lås han ikke kunne klare på en 5 minutters video?

Og selv hvis den lås findes har den gennemsnitlige dansker garagen fuld af grej der pænt går udenom låsen, men alligevel sørger for at døren er åben.

  • 0
  • 0
#5 Anders Majland

Danalock v2 havde jeg heller ikke for gode erfaringer med men v3 har jeg brugt det sidste års tid uden de store udfordringer.

Men enig med Bjarke - En smart-lås til private behøver kun være så lige så sikker som den øvrige fysiske sikring. Sålænge en standard dør eller vindue kan åbnes med et koben på et øjeblik eller en rude smadres er jeg ikke så nervøs for at min dørlås skulle blive hacket.

Ulempen er selvfølgelig er man ved hacking af låsen kan skaffe sig adgang uden at efterlade synlige spor.

Men der er nu noget convenience i at kunne låse døren op inden man stiger ud af bilen i regnvejr og med hænderne fulde går til døren. Ligeledes integrationen med alarm så når man går i seng om aftenen og slår alarmen til så låser døren.

Men ja der skal tænkes sikkerhed ind i IOT - specielt når det ender i et udbredt produkt. I et one'off hobby projekt er det knap så kritisk da risikoen for at nogen sætter sig foran huset for at hacke det må formodes at være meget lille medmindre man har noget af særlig interesse.

Kickstarter låsen viser så også at selvom man siger at man har fokus på sikkerheden kan man begå fejl og det derfor er lige så vigtigt at have fokus på software upgrade muligheder som sikkerheden i første design fase

  • 1
  • 0
Log ind eller Opret konto for at kommentere