image

Slim bluetooth-deurslot door beveiligingslek te openen

donderdag 27 juni 2019, 17:19 door Redactie, 13 reacties

Onderzoekers hebben in een slim bluetooth-deurslot verschillende kwetsbaarheden ontdekt waardoor onbevoegden het slot kunnen openen en het mogelijk is om gebruikers buiten te sluiten. De beveiligingslekken zijn aanwezig in het 250 dollar kostende Ultraloq van fabrikant U-tec.

Het slot is via een vingerafdruk, code en smartphone te openen. De programmeerinterface van de smartphone-app, waarmee gebruikers het slot kunnen openen en instellen, bleek geen enkele authenticatie te vereisen. Onderzoekers David Lodge, Andrew Tierney en Vangelis Stykas van securitybedrijf Pen Test Partners konden via de api persoonlijke gegevens van het gebruikersaccount uitlezen, waaronder informatie om de locatie van het betreffende huis en slot te vinden.

Via de programmeerinterface was het ook mogelijk om de pincode van het slot te resetten, waardoor gebruikers konden worden buitengesloten of het mogelijk was om de deur te openen. Daarnaast blijkt de code om het slot via bluetooth te openen uit zes cijfers te bestaan. Het is mogelijk om via de bluetooth-interface een bruteforce-aanval uit te voeren en zo de code te achterhalen.

U-Tec werd begin april over de kwetsbaarheden ingelicht. Op 1 mei werd het probleem met de programmeerinterface verholpen. De bruteforce-aanval via bluetooth is nog steeds mogelijk. De fabrikant stelde op 28 mei dat het nog een maand nodig had om deze kwetsbaarheid op te lossen. Er is echter nog een derde probleem. Het slot beschikt over een back-upslot mocht de elektronica niet meer werken. Dit back-upslot is echter eenvoudig door een amateur te openen. "Veel succes om dit met een firmware-update te verhelpen", aldus de onderzoekers.

Reacties (13)
27-06-2019, 18:56 door Anoniem
Als je iets weet over sloten, weet je ook dat veel electrische sloten niet zo veilig zijn als goede mechanische sloten.

Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.

Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
27-06-2019, 20:08 door Anoniem
Duidelijk een 'slim' slot, ja
27-06-2019, 21:42 door Anoniem
Door Anoniem: Als je iets weet over sloten, weet je ook dat veel electrische sloten niet zo veilig zijn als goede mechanische sloten.

Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.

Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Het hangt er maar vanaf hoe je tegen een elektronisch slot aankijkt.

Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.

In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.
27-06-2019, 22:05 door Anoniem
Een slim slot is dom om te kopen.
27-06-2019, 22:08 door Anoniem
Door Anoniem:

Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Waar slaat deze onderbuik reactie op, niet op het artikel.
28-06-2019, 09:41 door Anoniem
Door Anoniem:
Door Anoniem: Als je iets weet over sloten, weet je ook dat veel electrische sloten niet zo veilig zijn als goede mechanische sloten.

Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.

Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Het hangt er maar vanaf hoe je tegen een elektronisch slot aankijkt.

Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.

In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.

2 sterren heb je binnen een minuut open. die sterren rating is al lang niet meer actueel.
3 sterren is inmiddels verplicht voor nieuwbouw wegens het "slotje trekken" - ofwel, cylinder of kerntrekken.
28-06-2019, 09:49 door Anoniem
Leuk.En waarom zou ik zo'n slot willen hebben?
28-06-2019, 11:08 door SPer
Door Anoniem:
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..

Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?
28-06-2019, 11:43 door Anoniem
Door SPer:
Door Anoniem:
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..

Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?

Kijk op youtube naar 'the lockpicking lawyer' .

Nu is het wel zo dat het _veel_ tijd kost voordat je vaardigheden op dat niveau zitten, maar 'onkraakbaar' is zeldzaam.
Aan de andere kant , waar elektronische exploits "overdraagbaar" zijn naar scriptkiddies (het zoeken/vinden van een exploit is ook een vaardigheid die weinig mensen hebben, maar het runnen van een exploit script is makkelijk) is dat minder het geval bij lockpicking .
28-06-2019, 13:06 door Anoniem
Door Anoniem: Leuk.En waarom zou ik zo'n slot willen hebben?

Sleutelbeheer en gebruikslogging.

Als je de schoonmaakster opzegt , wil je de sleutel intrekken . (bij een mechanische sleutel weet je niet zo zeker of ze er geen kopie van heeft ).
En de sleutel van de schoonmaakster werkt alleen op de dagen / tijden dat ze langskomt.

Sleutel voor 'noodgevallen' bij de buren.

Als je AirBNB verhuurt is 'remote sleutelbeheer' nog meer noodzakelijk, en ook bij andere korte verhuur / gedeelde toegang (studenten , bergingen e.d.) wordt sleutelbeheer met mechanische sloten al snel een bezwaar.
28-06-2019, 13:42 door Anoniem
Door SPer:
Door Anoniem:
Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn..

Denkt u dat een hacker die een dergelijk slot mechanisch kan openen dit aan de grote klok gaat hangen ?

Ga de filmpjes van de Lock Picking Lawyer (https://www.youtube.com/channel/UCm9K6rby98W8JigLoZOh6FQ) eens bekijken. Je ziet dat hij de meeste sloten openkrijgt. En op Youtube zetten classificeer ik wel als aan de grote klok hangen.

Peter
29-06-2019, 10:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als je iets weet over sloten, weet je ook dat veel electrische sloten niet zo veilig zijn als goede mechanische sloten.

Er zijn voor € 250 prima mechanische sloten te koop die nog niet gekraakt zijn.

Overigens is dit idiote gedoe met electronische sloten ook weer een flagrante schending van privacy. Voor het gemak kan een huurbaas zelf sleutels instellen voor een bepaald slot, registreren wanneer iemand een bepaalde sleutel waar gebruikt en via RFID sleutels zijn mensen ook nog overal te volgen. Tel uit je winst.
Het hangt er maar vanaf hoe je tegen een elektronisch slot aankijkt.

Elektronische sloten zijn niet te openen via de z.g. 'klopsleutel'-methode. Ik ken instanties die elektronische sloten moeten gebruiken omdat het beheer als de uitgifte en de toegang tot verschillende deuren niet is op te lossen met conventionele cilindersloten.

In de regel mag je er van uitgaan dat alleen gecertificeerde sloten en beslag met het SKG keurmerk de inbraaktest hebben doorstaan. Dus 300 euro voor een goed SKG-slot (liefst met twee sterren of meer) is een koopje als je bedenkt dat de gemiddelde inbraakschade al snel oploopt tot 3000 euro. En dan hebben we het nog niet over de trage afwikkeling en de bureaucratie die het oplevert als je een beroep doet op een verzekeringsmaatschappij.

2 sterren heb je binnen een minuut open. die sterren rating is al lang niet meer actueel.
3 sterren is inmiddels verplicht voor nieuwbouw wegens het "slotje trekken" - ofwel, cylinder of kerntrekken.

U vergeet erbij te vermelden dat het SKG-keurmerk een dynamisch keurmerk is. Dat wil zeggen dat bij een nieuwe inbraakmethode het keurmerk wordt aangepast.

Ik heb al 14 security-jaren achter de rug, maar u weet kennelijk ook niet dat de meeste inbrekers binnen 30 seconden proberen binnen te komen, althans 90% is amateur en doet dat. Daarom is 2 sterren zeker voldoende om die 90% tegen te houden. Wil je de meer gespecialiseerde inbreker tegenhouden, dan is SKG*** zeker op zijn plaats. De meeste inbraken gebeuren bij woonhuizen aan de achterkant, en daar moet je zeker SKG*** hebben met kerntrekbeveiliging. Dat laatste is nodig om te voorkomen dat het cilinderslot eruit getrokken wordt. Ook de sluitkom dient niet alleen verschroeft te worden, maar net zo goed met een industriele kit worden vastgelijmd. Een doorbraak in het hout van het kozijn levert dan geen geslaagde inbraak op als de inbreker de sluitkom wil bereiken.
13-11-2019, 20:46 door Anoniem
Waar ik naar zoek is een standaard SKG*** slot met een klok-optie.
Wij vergeten nogal eens de schuurdeur op slot te draaien 'savonds, zou mooi zijn wanneer er een timer mechanisme op gemonteerd kan worden (aan de binnenkant) dat op de ingestelde tijd (bv. 11 uur 'savonds) de deur op slot draait. Mag zelfs 'sochtends om 7 uur het slot weer losdraaien, maar dat hoeft natuurlijk niet persé. Bestaat zoiets ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.