image

Onderzoekers kraken beveiliging Bluetooth-sloten

maandag 8 augustus 2016, 10:55 door Redactie, 9 reacties

De beveiliging van veel Bluetooth-sloten laat ernstig te wensen over, waardoor ongeautoriseerde gebruikers ze zonder problemen kunnen openen, maar fabrikanten kan het niet veel schelen. Dat hebben onderzoekers Anthony Rose en Ben Ramsey tijdens de Def Con conferentie in Las Vegas laten weten.

De onderzoekers wisten 12 van de 16 Bluetooth-sloten die ze onderzochten (pdf) op afstand te openen. Het gaat om sloten van Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Okidokey en Mesh Motion. In de sloten ontdekten ze verschillende kwetsbaarheden die soms zeer eenvoudig waren uit te buiten. Rose en Ramsey waarschuwden de fabrikanten. "Maar het blijkt dat fabrikanten het helemaal niets kan schelen", zegt Rose. "We hebben twaalf fabrikanten gewaarschuwd. Slechts één reageerde en die liet weten van het probleem op de hoogte te zijn, maar was niet van plan het op te lossen."

De problemen liggen niet in het Bluetooth Low Energy-protocol waar de sloten gebruik van maken, maar in de manier waarop het wordt geïmplementeerd, of in de bijbehorende smartphone-app. Vier sloten versturen het wachtwoord onversleuteld naar de gebruiker. Iedereen in de buurt met een Bluetooth-sniffer van 100 dollar kan zo het wachtwoord onderscheppen om vervolgens het slot te openen, aldus Tom's Guide.

Een andere fabrikant bleek wel encryptie te gebruiken. Het was echter mogelijk dit versleutelde wachtwoord op te vangen en vervolgens naar het slot door te sturen, waardoor het slot alsnog open ging. Volgens Rose vinden fabrikanten fysieke robuustheid belangrijker dan draadloze veiligheid. Eigenaren van dergelijke sloten krijgen dan ook het advies Bluetooth op hun smartphone uit te schakelen als het niet wordt gebruikt, om zo de kans dat gegevens worden onderschept te verkleinen.

Reacties (9)
08-08-2016, 11:12 door Anoniem
De fabrieken zijn niet te enigen die het zich niet veel kunnen schelen. Ook vele windows gebruikers zeggen vaak "als het werkt is het goed". Dus dat is gelijk de reden dat het voor de fabriekanten niets kan schelen. Zolang ze er maar geld mee verdienen en niet te veel klachten krijgen, zodat hun kleinkinderen later ook in een villa kunnen gaan wonen.
08-08-2016, 13:01 door Anoniem
Wat zijn dan de twee bluetooth sloten die ze niet op afstand konden openen?
08-08-2016, 13:59 door Anoniem
Door Anoniem: De fabrieken zijn niet te enigen die het zich niet veel kunnen schelen. Ook vele windows gebruikers zeggen vaak "als het werkt is het goed". Dus dat is gelijk de reden dat het voor de fabriekanten niets kan schelen. Zolang ze er maar geld mee verdienen en niet te veel klachten krijgen, zodat hun kleinkinderen later ook in een villa kunnen gaan wonen.

Prachtig hoe je dit koppelt aan 'Windows' gebruikers...
08-08-2016, 14:33 door Anoniem
Heel interessante ontwikkeling dit. Ik ben heel benieuwd wat de verzekering zegt als je melding maakt van inbraak terwijl er geen braaksporen zijn. En wat ze zeggen als de expert ziet dat je kwetsbare Bluetooth sloten gebruikt. Accepteer je als gebruiker dan je lot? Of klaag je dan de sloten fabrikant aan? En zou het ze dan wel wat kunnen schelen?

Kijk, iedereen is het er over eens dat dit gewoon erg slecht is. Maar van de andere kant, hoe veilig zijn de sloten die al 30 jaar in menig voordeur zitten? Die boor- en trek je er ook binnen 10 seconden uit.

Kijk dus naar de functie van die deur: zit die binnenshuis op je wijnkelder of op een groot bedrijfspand? In het laatste geval zou ik andere sloten en beslag laten plaatsten dan op de wijnkelder.

In dat opzicht vind ik het (eenvoudig) hacken + stelen van auto's van een ton (o.a. Jeep) veel kwalijker dan het hacken van een goedkoop slot.
08-08-2016, 15:27 door Anoniem
Naarmate méér van die gastjes wel kunnen programmeren (of code kunnen downloaden en gebruiken), maar niet kunnen vijlen en frezen, worden fysieke sloten almaar veiliger.
08-08-2016, 17:56 door Anoniem
Door Anoniem: Heel interessante ontwikkeling dit. Ik ben heel benieuwd wat de verzekering zegt als je melding maakt van inbraak terwijl er geen braaksporen zijn. En wat ze zeggen als de expert ziet dat je kwetsbare Bluetooth sloten gebruikt. Accepteer je als gebruiker dan je lot? Of klaag je dan de sloten fabrikant aan? En zou het ze dan wel wat kunnen schelen?

Verzekeringen stellen niet zulke hoge eisen blijkt in de praktijk. Navraag bij mijn huis-tuin-en-keuken inboelverzekering leerde mij "U dient voor uw woning deugdelijk hang- en sluitwerk te hebben geïnstalleerd. Er zijn geen specifieke eisen waarin uw sloten moet voldoen." Ik denk dat als jij in goed vertrouwen een (dure) bluetooth cilinder hebt gekocht en op normale wijze is geïnstalleerd in je deur, dat dit valt onder "deugdelijk".

Ook het hebben van inbraaksporen is helemaal geen vereiste (althans bij 95% van de verzekeringen) voordat er uitgekeerd wordt. Insluiping kan immers ook voorkomen, of bijvoorbeeld inbraak dmv bump keys. Ik heb deze vraag ook eens gesteld, vanwege een werkster in huis (een situatie waar je immers je huissleutels vrijwillig weggeeft), daarop kreeg ik het volgende: "Wij hebben het nagevraagt (sic) bij de schade-afdeling en ook insluiping valt onder de dekking van diefstal. Alleen als u bijvoorbeeld uw sieraden open en bloot op een tafel legt als de hulp komt schoonmaken, en ze worden gestolen, dan zien wij dit als merkelijke schuld en zal en geen uitkering plaatsvinden."

De voorwaarden spreken dus over "merkelijke schuld", maar dat is denk ik maar in een paar hele overduidelijke gevallen door hun hard te maken, dus zal in de praktijk wederom weinig voorkomen...
09-08-2016, 07:48 door Anoniem
De enige manier waarop deze fabrikanten het WEL kunnen schelen is als hun rommeltje niet meer op de markt mag verschijnen, want dan kost het immers geld! In Nederland moet overigens volgens het bouwbesluit hang- en sluitwerk gecertificeerd zijn wegens inbraakwerendheid. Rotzooi wordt dan automatisch niet meer geïnstalleerd.
09-08-2016, 07:52 door Anoniem
Verzekeringen stellen niet zulke hoge eisen blijkt in de praktijk. Navraag bij mijn huis-tuin-en-keuken inboelverzekering leerde mij "U dient voor uw woning deugdelijk hang- en sluitwerk te hebben geïnstalleerd. Er zijn geen specifieke eisen waarin uw sloten moet voldoen."
Dat klopt gewoon niet! Dan weet deze verzekeringsmaatschappij kennelijk niet dat volgens het Bouwbesluit hang- en sluitwerk op zijn minst moet voldoen aan NEN 5096, of weerstandsklasse 2. En bij het nieuwste bouwbesluit moeten de cilindersloten zelfs beveiligd zijn met kerntrek-beveiliging.
http://vrom.bouwbesluit.com/Inhoud/docs/wet/bb2012_nvt/artikelsgewijs/hfd2/afd2-15
09-08-2016, 09:58 door Anoniem
Door Anoniem:
Verzekeringen stellen niet zulke hoge eisen blijkt in de praktijk. Navraag bij mijn huis-tuin-en-keuken inboelverzekering leerde mij "U dient voor uw woning deugdelijk hang- en sluitwerk te hebben geïnstalleerd. Er zijn geen specifieke eisen waarin uw sloten moet voldoen."
Dat klopt gewoon niet! Dan weet deze verzekeringsmaatschappij kennelijk niet dat volgens het Bouwbesluit hang- en sluitwerk op zijn minst moet voldoen aan NEN 5096, of weerstandsklasse 2. En bij het nieuwste bouwbesluit moeten de cilindersloten zelfs beveiligd zijn met kerntrek-beveiliging.
http://vrom.bouwbesluit.com/Inhoud/docs/wet/bb2012_nvt/artikelsgewijs/hfd2/afd2-15

Maar dat bouwbesluit geldt natuurlijk alleen voor nieuwe panden. Wat als je in een oude woning woont? Of wat als de bewoner zelf zijn cilinders vervangt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.