Inbraakalarm door ernstig lek op afstand uit te schakelen
Een beveiligingsonderzoeker heeft een kritieke kwetsbaarheid in een draadloos inbraakalarm ontdekt (pdf), waardoor het mogelijk is om het systeem op afstand uit te schakelen. Het gaat om het inbraakalarm van fabrikant SimpliSafe. Het systeem bestaat uit allerlei sensoren, zoals rook- en bewegingsmelders, en is via een smartphone-app te bedienen. Om het SimpliSafe-systeem in of uit te schakelen moet er een pincode worden ingevoerd.
De pincode wordt draadloos en onversleuteld via de keypad naar het basisstation verstuurd, zo ontdekte onderzoeker Andrew Zonenberg van beveiligingsbedrijf IOActive. Hij slaagde erin om met apparatuur van zo'n 250 dollar de verstuurde data met de pincode op te slaan en op een later moment af te spelen. Zo is het mogelijk om het alarm op afstand uit te schakelen.
Geen oplossing
Volgens Zonenberg is er geen eenvoudige oplossing voor het probleem, aangezien de keypad de pincode onversleuteld verstuurt naar iedereen die luistert. Een firmware-update om encryptie toe te voegen is ook geen oplossing, aangezien de microcontrollers die SimpliSafe gebruikt maar één keer geprogrammeerd kunnen worden. Dit houdt in dat het upgraden van bestaande systemen niet mogelijk is. Zowel de keypads als basisstations zullen dan ook vervangen moeten worden. IOActive waarschuwde de fabrikant op 3 september vorig jaar voor de eerste keer, gevolgd door nog twee pogingen, maar in alle gevallen gaf SimpliSafe geen reactie.
Volgens SimpliSafe zouden meer dan een miljoen huizen in Noord-Amerika van het systeem gebruikmaken. "Deze eenvoudige kwetsbaarheid is met name alarmerend omdat het in een "beveiligingsproduct" aanwezig is dat met het beveiligen van meer dan een miljoen huizen wordt toevertrouwd", stelt Zonenberg. Daarnaast geeft het aanvallers de mogelijkheid om het systeem volledig over te nemen, uit te schakelen en pincodes te veranderen. Als laatste laten veel consumenten weten dat ze het systeem gebruiken, om zo inbrekers af te schrikken, maar in werkelijkheid worden ze op deze manier een doelwit, zo waarschuwt de onderzoeker.
Natuurlijk is zo iets te kraken. Maar het houdt wel de gelegenheidsinbreker tegen en dat is bij het beveiligen van
een huis het belangrijkste. Als er een bende een plan heeft om juist bij jouw huis in te breken en het er daarvoor
voor over heeft om eerst jouw code af te luisteren en later toe te slaan dan houd je die toch niet tegen.
Dit is net zo iets als schrijven over klopsleutels of vertellen dat veel inbraken tegenwoordig gepleegd worden door
een tegel door de ruit te gooien: je brengt er hooguit mensen mee op een idee, en anderen maak je er bang mee.
Maar het inbraak probleem, wat veel beter bij de wortel kan worden aangepakt, los je er niet mee op.
Mwja. Ook. Iets botter, de werkgever is weer genoemd, diens blog heeft aandacht, en wellicht heet de researcher een praatslot verdient op de een of andere conferentie . Bij de duurdere is dat inclusief betaald reis & verblijf, en staat het werkgeverslogo weer op het scherm en in de presentatielijst .
Of de researcher inderdaad denkt dat dit een echt risico is voor huis-tuin-keuken inbraak weet ik niet. Maar zakelijk gezien is het genereren van aandacht en het showen van reverse engineering skills ook al de moeite waard.
De relatie met real-life risico is secundair.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
