image

Weer bluetooth-slot dat via beveiligingslek is te openen

dinsdag 6 augustus 2019, 12:27 door Redactie, 2 reacties

Opnieuw hebben onderzoekers een bluetooth-slot ontdekt dat via een beveiligingslek is te openen. Daarnaast blijkt dat de accountgegevens van zo'n 15.000 gebruikers zijn te achterhalen. De afgelopen maanden hebben onderzoekers geregeld kwetsbaarheden in bluetooth-sloten gedemonstreerd.

De nieuwste demonstratie is afkomstig van onderzoekers van securitybedrijf SecureLayer7 die naar het "FB50 smart lock" van het Chinese Shenzhen Dragon Brother Technology besloten te kijken. Dit slot wordt onder verschillende merknamen en via allerlei webwinkels aangeboden. Het slot is via een vingerafdruk en bluetooth te openen. Hiervoor moeten gebruikers eerst via een bijbehorende app een account aanmaken.

De onderzoekers ontdekten dat via een bluetooth-scan het mogelijk is om de barcode en het slot-ID van het slot te achterhalen. Met de barcode kan de gebruikers-ID worden verkregen. Vervolgens is het mogelijk om met het slot-ID en het gebruikers-ID de oorspronkelijke gebruiker van het slot te verwijderen en een nieuwe gebruiker op te geven. Hierdoor verliest de gebruiker toegang tot zijn slot. Het is ook niet meer mogelijk om het oorspronkelijke gebruikersaccount aan het slot te koppelen, aangezien de aanvaller dit moet toestaan.

Daarnaast bleek het via een insecure direct object reference (IDOR) aanval mogelijk om gegevens van zo'n 15.000 gebruikers uit de database op te vragen. De onderzoekers waarschuwden de fabrikant op 27 juni, maar kregen geen reactie. Daarop zijn nu de gegevens openbaar gemaakt. "Koop nooit een smart lock. Je bent beter af met een "dom" slot met sleutels", aldus de onderzoekers, die toevoegen dat het Internet of Things zorgt voor een veel groter aanvalsoppervlak van apparaten die anders niet te "hacken" waren.

Image

Reacties (2)
06-08-2019, 14:25 door Anoniem
Of je moet een tweaker zijn en weten met wat je bezig bent. Ik zou het nog wel willen als er goede opensource software is en dat ik zoiets met een RPi kan gebruiken :)
07-08-2019, 13:28 door sabofx
"Koop nooit een smart lock. Je bent beter af met een "dom" slot met sleutels", aldus de onderzoekers, die toevoegen dat het Internet of Things zorgt voor een veel groter aanvalsoppervlak van apparaten die anders niet te "hacken" waren.

De onderzoekers waren wellicht niet bekend met zogeheten 'bump keys' waarmee de meeste reguliere ouderwetse sloten eenvoudig 'gehackt' kunnen worden. ????

Demonstratie
https://www.youtube.com/watch?v=w0CIlwSxsvU
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.