piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Problemy z zabezpieczeniami inteligentnego zamka otwierają furtkę włamywaczom

    Zobacz również

    Konsultanci bezpieczeństwa firmy F-Secure odkryli lukę w inteligentnym zamku, która pozwala atakującym przejąć kontrolę nad urządzeniem. Brak możliwości aktualizacji oprogramowania zamka oznacza, że nie jest i nie będzie możliwe całkowite naprawienie podatności. Pokazuje to równocześnie, z jakimi trudnościami zmagają się zarówno producenci, jak i użytkownicy coraz popularniejszych urządzeń IoT.

    - Reklama -

    KeyWe Smart Lock to inteligentny zamek używany głównie przez osoby prywatne, który pozwala im otwierać i zamykać drzwi za pomocą aplikacji mobilnej w smartfonie. Konsultanci bezpieczeństwa firmy F-Secure odkryli, że błąd w protokole komunikacyjnym pozwala na przechwycenie hasła używanego do sterowania urządzeniem.

    Producent zamka zastosował kilka różnych mechanizmów ochrony użytkowników, jednak błąd popełniony został już na etapie projektowania. Jego wykorzystanie pozwala atakującemu przechwycić i odszyfrować wiadomości wysyłane pomiędzy aplikacją mobilną a urządzeniem, co pozwala na przejęcie kontroli nad oprogramowaniem zamka. Jako że atak jest stosunkowo łatwy do przeprowadzenia, a wyeliminowanie podatności niemożliwe, istnieje realne zagrożenie wykorzystania luki przez włamywaczy – mówi Krzysztof Marciniak z F-Secure Consulting, konsultant bezpieczeństwa który zajmował się analizą zamka. – Atakujący potrzebują jedynie nieco wiedzy technicznej, urządzenia do przechwytywania ruchu Bluetooth Low Energy (do kupienia za około 30 zł) i trochę czasu, by przechwycić komunikację.

    Opisany atak jest kolejnym przykładem wyzwań, które napotykają producenci i użytkownicy coraz popularniejszych inteligentnych urządzeń. Przewiduje się, że do 2025 roku 125 miliardów urządzeń będzie podłączonych do Internetu.  Upowszechnienie tego rodzaju sprzętu oznacza jednak, że coraz częściej występować będą problemy związane z jego bezpieczeństwem.

    W zamku zastosowano mechanizmy zwiększające bezpieczeństwo (między innymi szyfrowanie wiadomości) w celu uniemożliwienia niepowołanego dostępu do informacji. Zabezpieczenia obejmują również hasło, które wykorzystywane jest do sterowania zamkiem. Pomimo tego, badaczom z F-Secure Consulting udało się znaleźć stosunkowo prosty sposób, by ominąć te zabezpieczenia. Jako że nie jest możliwe zaktualizowanie oprogramowania urządzenia, właściciele zamków mogą jedynie wymienić je lub zaakceptować fakt, że mogą stać się ofiarą ataku.

    Zabezpieczenia sprawdzają się jedynie wtedy, gdy są odpowiednio zaimplementowane – zwraca uwagę Marciniak. – Projektując tego rodzaju rozwiązania, należy przeanalizować model zagrożeń, które mogą dotknąć użytkowników. Uwzględnić potencjalnych atakujących, najbardziej zagrożone komponenty i inne czynniki wpływające na bezpieczeństwo. To nie jest proste, ale konieczne – zwłaszcza gdy producent nie przewiduje możliwości aktualizacji oprogramowania.

    Użytkownikom zalecane jest również rozważanie konsekwencji stosowania inteligentnych urządzeń w swoich domach, a producentom – podjęcie współpracy z ekspertami z zakresu cyberbezpieczeństwa przy projektowaniu nowych produktów.

    F-Secure Consulting działa na czterech kontynentach w 11 krajach. Oferuje rozwiązania cyberbezpieczeństwa dla klientów z wielu sektorów, m.in. finansowego, lotniczego, handlowego, ubezpieczeniowego oraz innych, szczególnie zagrożonych atakami.

    Ze względu na łatwość przeprowadzenia ataku oraz brak możliwości aktualizacji oprogramowania, F-Secure Consulting nie będzie udostępniać szczegółów technicznych niezbędnych do odtworzenia ataku. Dostępne są natomiast materiały dotyczące analizy urządzenia oraz samej podatności. Znaleźć je można pod adresami: https://labs.f-secure.com/advisories/keywe-smart-lock-unauthorized-access-traffic-interception oraz https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom.

    ŹródłoF-Secure
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...