Urządzenia Smart Home to świetna sprawa, o ile mamy do czynienia ze sprzętem, który gwarantuje bezpieczeństwo. Temu – wydawałoby się podstawowemu – zadaniu nie jest w stanie sprostać inteligentny zamek do drzwi KeyWe Smart Lock.
Inteligentny zamek do drzwi musi dobrze chronić nie tylko dostępu do domu właściciela, ale także do jego haseł, które umożliwiają zwolnienie blokady. Niestety, nie można na to liczyć, będąc w posiadaniu KeyWe Smart Lock. Konsultanci bezpieczeństwa firmy F-Secure odkryli w nim lukę, która pozwala atakującym przejąć kontrolę nad urządzeniem. Brak możliwości aktualizacji oprogramowania zamka oznacza, że nie jest i nie będzie możliwe całkowite naprawienie podatności.
Na czym polega niebezpieczeństwo?
Błąd wykazano na poziomie protokołu komunikacyjnego. Wykorzystując go, można przejąć hasło do sterowania urządzeniem. Kiedy to się stanie, do drzwi, których strzeże KeyWe Smart Lock może dostać się nie tylko właściciel, ale także oszust, który przechwyci hasło.
„Producent zamka zastosował kilka różnych mechanizmów ochrony użytkowników, jednak błąd popełniony został już na etapie projektowania. Jego wykorzystanie pozwala atakującemu przechwycić i odszyfrować wiadomości wysyłane pomiędzy aplikacją mobilną a urządzeniem, co pozwala na przejęcie kontroli nad oprogramowaniem zamka. Jako że atak jest stosunkowo łatwy do przeprowadzenia, a wyeliminowanie podatności niemożliwe, istnieje realne zagrożenie wykorzystania luki przez włamywaczy.”
– Krzysztof Marciniak z F-Secure Consulting
Co robić?
W tym wypadku właściciele zamków mogą zrobić tylko jedno: wymienić je lub zaakceptować fakt, że mogą stać się ofiarą ataku. Do czasu ewentualnej wymiany trzeba będzie regularnie zmieniać hasło, którego przechwycenie nie jest jakąś filozofią.
„Atakujący potrzebują jedynie nieco wiedzy technicznej, urządzenia do przechwytywania ruchu Bluetooth Low Energy (do kupienia za około 30 zł) i trochę czasu, by przechwycić komunikację.”
Opisany atak jest kolejnym przykładem wyzwań, które napotykają producenci i użytkownicy coraz popularniejszych sprzętów Smart Home. Przewiduje się, że do 2025 roku 125 miliardów urządzeń będzie podłączonych do Internetu. Upowszechnienie tego rodzaju produktów oznacza jednak, że coraz częściej występować będą problemy związane z ich bezpieczeństwem.
Dokumentację badań F-Secure znajdziecie tutaj i tutaj.
źródło: materiały prasowe, KeyWe