Lek in KeyWe smart deurslot laat aanvaller deur openen
Een beveiligingslek in het smart deurslot van fabrikant KeyWe maakt het mogelijk voor aanvallers om allerlei acties uit te voeren, waaronder het openen van de deur, en een oplossing is nog niet voorhanden. Het KeyWe-slot is te openen met een pincode, NFC, sleutel, bluetooth en het Z-Wave-protocol.
Verschillende ontwerpfouten in het slot zorgen ervoor dat een aanvaller die het verkeer tussen het slot en de gebruiker kan onderscheppen en ontsleutelen, zich als de gebruiker kan voordoen. Zo is het mogelijk om de deur te openen of op slot te doen en een denial of service te veroorzaken. De beveiliging van het slot is van twee zaken afhankelijk. Ten eerste de sleutel die voor het initialiseren van de sleuteluitwisseling wordt gebruikt en het proces voor het genereren van de app/slot-sleutel.
De implementatie hiervan laat echter te wensen over, waardoor een aanvaller de beveiliging kan omzeilen. Zo is de sleutel die voor de initialisatie van de sleuteluitwisseling wordt gebruikt gebaseerd op het bluetooth MAC-adres van het slot, dat eenvoudig is te achterhalen. Daarnaast is het proces voor het genereren van de vereiste encryptiesleutel uit de smartphone-app te halen. De ontwikkelaars hebben hiervoor een zelfgemaakt protocol bedacht. "Zoals de afgelopen jaar is aangetoond loopt het nooit goed af met in-house crypto", aldus de onderzoekers van antivirusbedrijf F-Secure die de problemen ontdekten.
Het protocol blijkt eenvoudig te reverse engineeren. Daardoor kan een aanvaller in een straal van vijftien meter het verkeer onderscheppen en ontsleutelen en zich vervolgens als gebruiker voordoen, aldus de onderzoekers. F-Secure waarschuwde de fabrikant, maar die stelt dat er geen mogelijkheid aanwezig is om de firmware te updaten. Er is dan ook geen oplossing op dit moment voorhanden, behalve het pairen met een apparaat dat zover als mogelijk van het slot is verwijderd, waardoor een aanvaller het verkeer niet kan onderscheppen, of het gebruik van een fysieke sleutel/pincode.
En eigen encryptie bedenken zo slecht, dat toont al aan dat ze er geen kaas van gegeten hebben. Failliet die toko!
TheYOSH
Dat is hxxps://thekeywe.com/
Prompt krijg ik een waarschuwing in Firefox m.b.t. een veiligheidsrisico aangaande het certificaat.
Doel bereikt. Mijn persoonlijke oordeel is nu goed onderbouwd!
Nee maar voor een gewoon cylinderslot geldt exact hetzelfde. Wat heb jij voor slot op de deur, een cylinderslot zeker?
M.a.w.: "het moet echt veilig zijn" dat is in de meeste situaties niet van toepassing, dus ook een beetje onzin om dat er
steeds bij te halen.
Nee maar voor een gewoon cylinderslot geldt exact hetzelfde. Wat heb jij voor slot op de deur, een cylinderslot zeker?
M.a.w.: "het moet echt veilig zijn" dat is in de meeste situaties niet van toepassing, dus ook een beetje onzin om dat er
steeds bij te halen.
Een 'gewoon' cilinderslot is momenteel een beschermd slot sk*** met kerntrekbeveiliging in combinatie met sk*** beschermingsklasse deurbeslag (schilden en klinken) uitgevoerd met sk*** insteekslot met eenslagsnachtschoot beschermd met 2 stuks hardstalen stiften sluitend in een 5 x geborgde schootkast met RVS dag/nachtschootplaat.
Wat ik hierboven beschrijf is de gangbare bouwbeslag uitvoering in recente woningbouw.
Hoezo moet het niet écht veilig zijn? Ben je er zo een die 's-nachts om 03:30 uur gaat bijbeunen of zo?
Verklaar: Wat is de onzin om dit erbij te halen?
Nee maar voor een gewoon cylinderslot geldt exact hetzelfde. Wat heb jij voor slot op de deur, een cylinderslot zeker?
M.a.w.: "het moet echt veilig zijn" dat is in de meeste situaties niet van toepassing, dus ook een beetje onzin om dat er
steeds bij te halen.
Een 'gewoon' cilinderslot is momenteel een beschermd slot sk*** met kerntrekbeveiliging in combinatie met sk*** beschermingsklasse deurbeslag (schilden en klinken) uitgevoerd met sk*** insteekslot met eenslagsnachtschoot beschermd met 2 stuks hardstalen stiften sluitend in een 5 x geborgde schootkast met RVS dag/nachtschootplaat.
Wat ik hierboven beschrijf is de gangbare bouwbeslag uitvoering in recente woningbouw.
Hoezo moet het niet écht veilig zijn? Ben je er zo een die 's-nachts om 03:30 uur gaat bijbeunen of zo?
Verklaar: Wat is de onzin om dit erbij te halen?
Je vergeet te melden dat een kenner dit soort cylindersloten vaak in een paar tellen open heeft.
Maar tegen een gelegenheidsinbreker werken ze prima.
Ditzelfde geldt voor een electronisch slot.
Er heerst hier kennelijk het beeld dat de gemiddelde straatcrimineel rondloopt met apparatuur en software, en dan
bijvoorbeeld slimme meters gaat hacken om te kijken of mensen thuis zijn, sleutels van slimme sloten gaat clonen
of codes kraken, etc. Maar zo werkt dat niet, ze gebruiken gewoon geweld.
En ook dat "maar je hebt hier toch niks aan???" komt steeds weer terug. Maar je hebt hier WEL wat aan. Met name
in situaties waar sleutelbeheer het probleem is en dat komt best vaak voor.
Stel jij wilt een huis verhuren via airbnb. Hoe ga je dat dan regelen met de toegang? Hoe krijgt die gast de sleutel als
ie midden in de nacht van schiphol komt? Hoe voorkom je dat ie een copietje maakt en binnen kan blijven komen?
Electronische sleutels voorzien daar in. Mechanische sloten niet.
Dat is hxxps://thekeywe.com/
Prompt krijg ik een waarschuwing in Firefox m.b.t. een veiligheidsrisico aangaande het certificaat.
Doel bereikt. Mijn persoonlijke oordeel is nu goed onderbouwd!
Het certificaat is al sinds April verlopen.
idd niet echt een goede beurt voor een bedrijf in beveiliging.
Electronische sleutels voorzien daar in. Mechanische sloten niet.
En een kopietje trekken van een mechanische sleutel kan ook niet altijd zomaar. Er zijn sleutels waar kopieëren per patent beschermd is en dus kun je het niet bij de reguliere sleutelnamaker. En dan zit je al zo in het criminele circuit dat je als verhuurder hele andere problemen hebt, mocht je daarmee te maken hebben. Een electronische sleutel is makkelijker te kopieëren maar ook makkelijker uit te schakelen... maar dan moet je dat dus wel doen.
Daarnaast denk ik dat kopietjes trekken marginaal interessant is voor een airb&b-gast, want komt'ie later terug dan zitten er anderen en dat geeft bonje. Of het moet om een moedwillige dief gaan, maarja, het is niet heel ingewikkeld om de gastenlijst af te gaan en te kijken wie er tijdens de diefstal in de buurt was. Ongeveer dezelfde reden dat hotels ook niet heel veel gedonder hebben met onderhands gekopieerde sleutels, et cetera.
Maargoed, je zou hetzelfde zelfs nog makkelijker met een instelbaar cijferslot kunnen doen. Dat scheelt "apps" en weetikhet. Gewoon die cijfercode in de mail en je bent er ook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
