Opnieuw slim bluetooth-deurslot door beveiligingslek te openen
Onderzoekers hebben opnieuw een slim bluetooth-deurslot ontdekt dat door een combinatie van lekken door een aanvaller is te openen. Een beveiligingsupdate van de fabrikant is nog niet beschikbaar. De problemen zijn aanwezig in de 170 dollar kostende Hickory smart bluetooth enabled deadbolt.
Het slot is via een smartphone-app te bedienen. De app blijkt de gevoelige data niet veilig op te slaan, waardoor andere apps er toegang toe kunnen krijgen. Daarnaast is er een kwetsbaarheid aanwezig in de API waar het slot gebruik van maakt. Eigenaren van het slot kunnen accounts voor gebruikers aanmaken en die vervolgens weer uitschakelen. Deze gebruikers blijken via de programmeerinterface nog steeds toegang te kunnen krijgen tot informatie waarmee ze het slot kunnen bedienen. Verder blijkt dat de gebruikersnaam en het wachtwoord onversleuteld over het netwerk worden verstuurd.
Via de kwetsbaarheden kan een aanvaller het slot op dezelfde manier bedienen als de oorspronkelijke eigenaar. Fabrikant Hickory Hardware werd op 16 mei door onderzoeker Deral Heiland van securitybedrijf Rapid7 over de kwetsbaarheden geïnformeerd. Op 1 juli informeerde de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Nu er meer dan 60 dagen sinds de oorspronkelijke waarschuwing zijn verlopen en er geen patch beschikbaar is heeft Rapid7 de details openbaar gemaakt. Eind juni lieten andere onderzoekers zien dat een slim bluetooth-deurslot van fabrikant U-tec door de aanwezigheid van verschillende kwetsbaarheden ook was te openen.
Letterlijk wel aan de voordeur ontwikkelen met een op afstands- bedienbaar slot, maar de 'achterdeur' open laten staan ...
DDK
Letterlijk wel aan de voordeur ontwikkelen met een op afstands- bedienbaar slot, maar de 'achterdeur' open laten staan ...
DDK
SCRUM, geld, CEO's. stress.
Ik denk niet dat er veel geld zit in het samenwerken aan een open-source smart-deursloten API.
Ook zou er gewoonweg een deftig keurmerk op de markt moeten komen voor dit soort producten.
Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
Ik denk niet dat veel mensen een 2e hands deurslot gebruiken
Tenzij het bij het huis zit dat je kocht (en dan nog zou ik persoonlijk een factory-reset willen of het hele zooitje vervangen)
Leuk dat er exploits op elektronische sloten zit, maar fysiek een slot kraken is vaak veel eenvoudiger dan ingewikkeld een elektronisch slot hacken.
De mens als consument heeft dit zich allemaal aan laten praten.
In eerste instantie door Apple die ermee begon. Zomaar uit het niets werd een computer i 'intelligent' de iMac (1998)
En daarmee was het hek van de dam voor deze onzin kwalificatie, en de perceptueel verslaafde mens slikt dit allemaal als zoete broodjes over de toonbank: Als er een i voor staat of het ding smart is moet het toch wel deugen??
Smart deurslot? In het land der blinden is éénoog koning... het is dus zinloos, maar toch meld ik de in dit geval zo voor de hand liggende kwetsbaarheden: De app kan corrupt/gehackt raken/worden, de telefoon kan gestolen worden/verloren raken, zijn accu, maar ook van het slot kan leeg raken, of misschien wel in brand vliegen (komt ook voor; Li-ion)
Wat is hier feitelijk 'smart' aan?
Counterfact:
Wat is nu menselijk gezien slimmer dan toepassing van een gewone cilinder met kerntrekbeveiliging zoals bijvoorbeeld dit: https://www.veiligheids-sloten.nl/3xnemef1329-kerntrekbeveiliging
De kwaliteit valt hier al bijna onder bouwbeslag dus is zelfs minimaal te noemen. Toch: afgezien van inbraakrisico - wat altijd blijft bestaan - is het enige reële risico qua gebruiksgemak: verlies van de sleutel. Risicobeperking: reservesleutel op toegankelijke plaats (familie, betrouwbare buren)
Hoe dommer het slot, hoe slimmer zijn gebruiker, en tot die laatste groep reken ik mijzelf.
Goed weekend allemaal!
Doe maar gewoon een fysiek slot met fysieke sleutels. Als je daar een redelijk model van uitzoekt, is 'copietje maken' al een stuk lastiger. En ik kan ze gewoon tellen om te weten hoeveel het er zijn. Als die 'smart' dingen zijn helemaal niet smart. Het ziet er alleen fancy uit als je met je telefoon (je weet wel, dat apparaat bedoeld om te bellen!) de deur open kan maken.
Wellicht is er voor grotere organisaties nog wat voor electronische sloten te zeggen - scheelt een hoop gedoe met sleutels. Maar voor een particulier??
De deur heeft de mogelijkheid om met code of vingerafdruk geopend te worden (naast een app die op bluetooth werkt en een los 'knopje'). Elk kind heeft zijn eigen code. Mocht een code vergeten zijn, wis je de gebruiker en maak je een nieuwe aan. Je kunt ook bijvoorbeeld een schoonmaker toegang geven op maandag tussen 9:00 en 11:00.
Het slot zelf heeft geen internet verbinding en is dus alleen op korte afstand te openen met een app. De fysieke sleutel van het slot kan alleen nagemaakt worden als je de desbetreffende smartcard hebt waarmee de sleutelmaker hem kan dupliceren. Al met al een goed ontworpen slot van een gerenommeerd bedrijf.
De vraag is ook wat veiliger is: een fysieke sleutel meegeven aan kinderen (die ze makkelijk kunnen verliezen; en dan? nieuwe cylinder?), of een code, die je zo kan veranderen of wissen.
Beveiliging is altijd mitigeren van risico's en in mijn geval vind ik het veiliger om een slim slot te hebben zonder fysieke sleutels te hoeven distribueren.
Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
Is al eerder op vergelijkbare manieren foutgegaan, leren ze het dan nooit. Kennelijk gaan die fabrikanten gewoon voor het snelle geld. Ze blijven dezelfde security missers in zowel slot als app maken en ontkennen alle aansprakelijkheid zondermeer en komen daar ook nog mee weg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
