image

Bluetooth-slot lekt wachtwoordhash en e-mailadres gebruikers

vrijdag 24 mei 2019, 16:44 door Redactie, 4 reacties

Opnieuw is er een bluetooth-slot ontdekt dat gegevens van alle gebruikers blijkt te lekken, waaronder e-mailadres, wachtwoordhash en locatiegegevens van het slot. Daarnaast kan een aanvaller het slot op afstand overnemen en zelf openen of ervoor zorgen dat de gebruiker het slot niet meer kan gebruiken.

Een oplossing is niet beschikbaar, behalve het niet meer gebruik van het slot. Het gaat om de Noke lock, een goedkoop bluetooth-slot dat onder andere via Amazon wordt aangeboden. Gebruikers kunnen het slot via een app en bluetooth-verbinding bedienen. De implementatie van het bluetooth-protocol laat te wensen over, waardoor een aanvaller op 10 meter afstand het slot kan openen.

Daarnaast zit er een kwetsbaarheid in de programmeerinterface, waardoor een aanvaller zonder authenticatie met de Noke lock-database kan communiceren. Hierdoor is het mogelijk om van alle gebruikers de accountgegevens uit te lezen, zoals het e-mailadres, wachtwoordhash en gps-gegevens van het slot. Tevens kan een aanvaller deze gegevens wijzigen, waardoor een aanvaller het slot kan overnemen of kan voorkomen dat de eigenaar zijn eigen slot gebruikt.

Om deze acties uit te voeren is een token vereist. Het token controleert alleen of het account is geauthenticeerd, niet of het ook geautoriseerd is. Onderzoeker David Lodge van securitybedrijf Pen Test Partners merkt op dat het eenvoudig is om een account aan te maken en zo toegang tot de gegevens in de database te krijgen.

Tevens blijkt dat het wachtwoord van gebruikers via het zwakke MD5-algoritme wordt gehasht, zonder gebruik van een salt. Daardoor lopen gebruikers risico dat hun wachtwoord wordt gekraakt als een aanvaller de database in handen krijgt of een insecure direct object reference (IDOR) aanval uitvoert, zoals Lodge deed. De onderzoeker testte de aanval alleen met zijn eigen accounts.

Lodge is naar eigen zeggen sinds januari bezig geweest om de fabrikant te waarschuwen, maar zonder succes. In februari werd bekend dat een ander bluetooth-slot, de Tapplock One, ook de gegevens van alle gebruikers lekte. Volgens Lodge laat de Noke lock zien dat gebruikers voorzichtig moeten zijn met goedkope producten en dit bluetooth-slot vermeden moet worden.

Reacties (4)
25-05-2019, 11:07 door Anoniem
Een slot is dan ook niet ontworpen met veiligheid in gedachte.
25-05-2019, 16:46 door Anoniem
Waarom moet zo'n slot überhaupt met een server praten? Het wordt tijd dat mensen producten die dat doen links laten liggen. In sommige productgroepen is echter (vrijwel) niets anders meer te krijgen, terwijl dit in aanzet niet nodig is voor een goed product.
27-05-2019, 09:38 door Anoniem
Door Anoniem: Waarom moet zo'n slot überhaupt met een server praten? Het wordt tijd dat mensen producten die dat doen links laten liggen. In sommige productgroepen is echter (vrijwel) niets anders meer te krijgen, terwijl dit in aanzet niet nodig is voor een goed product.

Veel van deze producten wil men ook van buiten het eigen netwerk kunnen bedienen. Zo worden veel sloten aangeboden met de feature dat je de deur remote kunt openen als er gasten binnengelaten moeten worden.

Om van deze feature gebruik te maken moet je dus een verbinding zien te maken tussen twee devices waarvan je de IP adressen in principe niet weet. Je telefoon heeft regelmatig een ander adres, als dat al niet een private adres is, en je slot heeft ook een private adres en moet via een PNAT router naar buiten. Waar hij ook een "onbekend" IP adres krijgt.

Een intermediate systeem is dan nodig.

Peter
28-05-2019, 12:33 door Anoniem
wauw wat goed zeg, die bluetooth slotjes zijn sowieso kinderspeelgoed. Mag wat mij betreft helemaal van de markt af, want mensen zijn zo naïef en denken dat het super veilig is en goed werkt. Zoals met 99.9% van al de SMART consumenten elektronica. Weg ermee dus, ban erop.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.