Sikkerhedsproblemer i smarte låse

Designfejl opdaget i en smart lås fra producenten KeyWe viser, at opgaven med at producere enheder, der er både smarte og sikre, langt fra er løst

En gruppe konsulenter fra cybersikkerhedsudbyderen F-Secure har opdaget en designfejl i en smart lås, som angribere kan bruge til let at låse enheden op. Låsens manglende evne til at modtage firmwareopdateringer betyder, at fejlen ikke kan rettes helt, hvilket blot understreger de vanskeligheder, som producenter og forbrugere står overfor i forhold til at sikre de nye IoT-enheder, der rammer markedet.

KeyWe Smart Lock, en fjernstyret indgangsenhed, der primært bruges i private boliger, giver brugerne mulighed for at åbne og lukke døre med en app på deres mobiltelefon. F-Secure Consulting fandt, at de var i stand til at udnytte mangelfuldt designede kommunikationsprotokoller og dermed aflytte den hemmelige adgangsbesked, der kontrollerer låsen, mens den udveksles mellem den fysiske enhed på døren og mobil-appen.

”Låsen har flere beskyttelsesmekanismer, men desværre gør låsens design det temmelig let for angribere at omgå disse mekanismer for at aflytte meddelelser, der udveksles mellem låsen og appen – dette betyder, at låsen og dermed ejerens hjem er åbent over for et relativt simpelt angreb. Der er ingen måde at undgå dette på, så at komme ind i et hjem, der er beskyttet af denne lås, er et sikkert valg for indbrudstyve, der er i stand til at udføre dette hack”, siger F-Secure Consulting’s Krzysztof Marciniak, en af de cybersikkerhedskonsulenter, der hjalp med at udvikle hacket.

“Alt en angriber har brug for, er en lille smule know-how, en enhed til at hjælpe dem med at opfange trafikken mellem de nævnte devices – dette kan købes i utallige butikker med forbrugerelektronik for helt ned til 10 dollars – og så skal man bruge lidt tid til at finde ejeren af låsen.”

Angrebet er endnu en demonstration af de sikkerhedsudfordringer, som producenter og forbrugere står overfor, når IoT-enheder fortsætter med at vælte ud i markedet. Et nyligt skøn antyder, at der vil være 125 milliarder enheder, der er forbundet til internettet, i 2025.* Men når disse IoT-enheder spreder sig, så vil sikkerhedsproblemerne følge med.

Låsen fra KeyWe har adskillige nyttige sikkerhedsfunktioner, herunder datakryptering, der er beregnet til at forhindre uautoriserede parter i at få adgang til systemkritisk information, såsom den hemmelige adgangsbesked.

F-Secure Consulting fandt imidlertid relativt lette måder at omgå systemets sikkerhedsforanstaltninger på, og eftersom enheden ikke kan modtage firmwareopdateringer, kan den fejl, der udnyttes til dette angreb, ikke rettes, hvilket betyder, at ejere af denne lås skal erstatte låsen eller leve med risikoen.

Marciniak påpeger, at sikkerhed kun er effektiv, når den implementeres korrekt, hvilket er en detalje, som IoT-enhedsleverandører til stadighed har brug for at forstå.

”Sikkerhed er ikke en one-size-fits-all-løsning. Det skal skræddersys til at tage højde for brugeren, miljøet og en lang række andre parametre. Dette er ikke let, men hvis IoT-enhedsleverandører sender produkter, der ikke kan modtage opdateringer, ud i markedet, så er det vigtigt at bygge disse enheder med sikkerheden in mente fra starten af,” forklarer Marciniak.

På grund af dette hacks forholdsvist lette fremgangsmåde og på grund af manglen på effektive måder at stoppe sårbarheden på, har F-Secure Consulting valgt at tilbageholde vigtige dele af de tekniske detaljer, der er nødvendige for at udføre angrebet. Dog er der blevet udgivet en række råd samt et blogindlæg med mere information hos F-Secure Labs.

* Kilde: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

Del artiklen på

Om Lars Bennetzen (2689 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?

Tilmeld dig vores nyhedsbrev

Hvis du ikke allerede får vores nyhedsbrev, har du her muligheden for at tilmelde dig.

Vi udsender 1 gang om ugen, så vi kommer ikke til at spamme din mailboks.

Vi holder dine data private, og deler dem ikke med tredjepart