image

Bluetooth-slot binnen twee seconden via smartphone te openen

woensdag 13 juni 2018, 16:30 door Redactie, 15 reacties

Onderzoekers hebben ernstige kwetsbaarheden in een smart bluetooth-slot ontdekt waardoor die binnen twee seconden via een smartphone is te openen. Het gaat om de 100 dollar kostende Tapplock One. De makers omschrijven het als het eerste "smart fingerprint" slot ter wereld.

Het slot is zowel via vingerafdrukken als een smartphone-app te bedienen. De beveiliging van het slot laat echter ernstig te wensen over. Het eerste dat onderzoekers van securitybedrijf Pen Test Partners ontdekten is dat de smartphone-app om het slot te bedienen via het onversleutelde http communiceert. Daarnaast blijkt de data die de app en het slot uitwisselen niet te veranderen. Door eerder verstuurde data te onderscheppen en opnieuw af te spelen is het zo mogelijk om het slot te openen.

Een paar minuten later vonden de onderzoekers de manier om met het slot via Bluetooth te pairen en vervolgens te openen. Alleen het kennen van Bluetooth MAC-adres van het slot, dat door het slot wordt uitgezonden, blijkt voldoende te zijn. Via een eenvoudig script is het zo mogelijk om elke willekeurige Tapplock binnen twee seconden te openen, zegt onderzoeker Andrew Tierney. Het script wordt nu naar een Android-app omgezet, zodat het nog toegankelijker wordt, zo laat hij weten. De kwetsbaarheden om het slot mee te kraken werden in minder dan 45 minuten gevonden.

Aangezien het hier om een beveiligingsproduct gaat en de gevonden kwetsbaarheden zo ernstig van aard zijn besloot Tierney het bedrijf zeven dagen te geven om de problemen te verhelpen. Nadat hij Tapplock had geïnformeerd ontving hij echter een bericht terug dat de fabrikant al van de kwetsbaarheden wist. "Tapplock wist van deze problemen maar bleef het slot op Amazon verkopen en heeft klanten niet gewaarschuwd. Ik kan dit niet anders omschrijven dan immoreel", zo laat de onderzoeker weten. "Dit niveau van beveiliging is compleet onacceptabel. Consumenten verdienen beter en je klanten op deze manier behandelen is enorm respectloos."

Inmiddels heeft Tapplock een firmware-update uitgebracht. Volgens Tierney is dit niet voldoende, omdat er in de waarschuwing niet duidelijk wordt vermeld dat iedereen het slot kan openen en er een ander slot moet worden gebruikt totdat de firmware is geïnstalleerd. In onderstaande video wordt de hack gedemonstreerd.

Image

Reacties (15)
13-06-2018, 16:41 door Anoniem
Niet zo smart dus. Advies: Laten we stoppen met dit soort domme wegwerpapparatuur "smart" te noemen.
13-06-2018, 17:05 door User2048
Waarom zou je een slot willen bedienen met je smartphone? Een sleutel in het slot steken is toch vele malen makkelijker, sneller en veiliger?
13-06-2018, 17:09 door Anoniem
Dat is nog niet eens alles. Fysiek is de slot ook slecht: https://www.youtube.com/watch?v=RxM55DNS9CE

Met een GoPro magneet kun je zo de achterkant opendraaien. Geen sleutels nodig...

TheYOSH
13-06-2018, 17:59 door Anoniem
Door User2048: Waarom zou je een slot willen bedienen met je smartphone? Een sleutel in het slot steken is toch vele malen makkelijker, sneller en veiliger?
Ooit van lockpicking gehoord? Een sleutel of combinatie is ook vaak niet veilig. Veel sloten zijn evem snel open.
13-06-2018, 18:23 door Anoniem
Door Anoniem: Niet zo smart dus. Advies: Laten we stoppen met dit soort domme wegwerpapparatuur "smart" te noemen.
Juist niet. Bij het woord "smart" worden we meteen gewaarschuwd om alles met argusogen te bekijken.
13-06-2018, 18:52 door quikfit - Bijgewerkt: 13-06-2018, 18:53
13-06-2018, 19:26 door Anoniem
Dit zijn wel complete beginnersfouten, van mensen die kennelijk nog niet het eerste het beste boek "hoe bouw ik een veilig apparaat" hebben opengeslagen.
13-06-2018, 20:46 door Anoniem
En voor wie een low-tech oplossing wil om dit slot te openen: er is letterlijk een backdoor. Je kunt de achterkant eraf schroeven. Zie https://boingboing.net/2018/06/03/watch-how-easy-it-is-to-break.html ( gezien via BoingBoing )
14-06-2018, 06:00 door Anoniem
Het is toch triest dat zulke rotzooi zonder gevolgen verkocht mag worden. Zolang er geen harde sancties volgen op zulke producten is het voor cyber security dweilen met de kraan open. Precies wat we de afgelopen decenia gezien hebben en er veranderd zo goed als niets. Producenten die niet over security nadenken hebben een economisch voordeel door de kortere ontwikkeltijd en goedkoper personeel (minder kennis nodig). Degene die het wel goed proberen te doen EN de eindgebruiker zijn vervolgens het slachtoffer.

Laten we hopen dat de GDPR geen papieren tijger is maar daadwerkelijk zijn tanden laat zien. Laat maar eens een rits bedrijven failliet gaan of stop de bestuurders achter tralies voor het lekken van data. Hierna graag een wet optuigen waar fabriekanten aan moeten voldoen met dezelfde soort sancties. Misschien ontwaakt men dan eindelijk en komen we een stapje verder.
14-06-2018, 08:19 door Anoniem
Een beetje ondernemer neemt risico's, maar een domme beginnende ondernemer ziet misschien teveel dollartekens en denkt dan niet dat als ik 1000 sloten heb verkocht en er is iets niet in orde dan kan het scenario zo zijn dat ik 1000 boze klanten heb die hun geld terug willen hebben.
Een beetje ondernemer die huurt een goeie fietsendief en een pentester alvorens het product op de markt te brengen.
14-06-2018, 09:20 door Briolet
Door Anoniem: Dit zijn wel complete beginnersfouten, van mensen die kennelijk nog niet het eerste het beste boek "hoe bouw ik een veilig apparaat" hebben opengeslagen.

Zover ik kan zien is dat slot gestart via een kickstart project op "www.indiegogo.com". Blijkbaar mensen met een leuk idee, en inderdaad geen enkele ervaring.

Een kind had kunnen weten dat dit zo te openen is. Zoals andere reacties aanhalen is de grootste faal dat de achterkant gewoon los zit. De enige 'beveiliging' tegen open draaien is dat je weinig grip hebt op het achterdeksel. Met een tang vind je geen houvast. Maar met een sterke magneet en waarschijnlijk ook met een goed stuk ducktape, krijg je wel grip op het achterdeksel om het open te draaien.
14-06-2018, 09:55 door Anoniem
Typisch een gevalletje 'security through obscurity'.
14-06-2018, 11:14 door Anoniem
De meeste van die "smart" sloten zijn ook gewoon via een magneet open te krijgen meen ik... dus hoef die troep zowiezo al niet.
14-06-2018, 11:17 door Anoniem
Door Anoniem:
Door User2048: Waarom zou je een slot willen bedienen met je smartphone? Een sleutel in het slot steken is toch vele malen makkelijker, sneller en veiliger?
Ooit van lockpicking gehoord? Een sleutel of combinatie is ook vaak niet veilig. Veel sloten zijn evem snel open.

Klopt. Standaard sloten zijn redelijk makkelijk, maar de betere sloten zijn niet zo simpel hoor.

Verder is het ook belangrijk om naar de nodige vaardigheden te kijken.
Alhoewel lockpicking een mogelijkheid is, is niet idereen in staat om het ook daadwerkelijk in de praktijk te brengen. Een app uitvoeren op een smarphone kan zelfs de meest onhandige persoon.
14-06-2018, 13:35 door Anoniem
De cowboy mentaliteit viert nog steeds hoogtij. Het wordt tijd dat de informatica industrie volwassen wordt (gemaakt).....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.