Nieuws

Lek in KeyWe smart deurslot laat aanvaller deur openen

donderdag 12 december 2019, 14:39 door Redactie, 11 reacties

Een beveiligingslek in het smart deurslot van fabrikant KeyWe maakt het mogelijk voor aanvallers om allerlei acties uit te voeren, waaronder het openen van de deur, en een oplossing is nog niet voorhanden. Het KeyWe-slot is te openen met een pincode, NFC, sleutel, bluetooth en het Z-Wave-protocol.

Verschillende ontwerpfouten in het slot zorgen ervoor dat een aanvaller die het verkeer tussen het slot en de gebruiker kan onderscheppen en ontsleutelen, zich als de gebruiker kan voordoen. Zo is het mogelijk om de deur te openen of op slot te doen en een denial of service te veroorzaken. De beveiliging van het slot is van twee zaken afhankelijk. Ten eerste de sleutel die voor het initialiseren van de sleuteluitwisseling wordt gebruikt en het proces voor het genereren van de app/slot-sleutel.

De implementatie hiervan laat echter te wensen over, waardoor een aanvaller de beveiliging kan omzeilen. Zo is de sleutel die voor de initialisatie van de sleuteluitwisseling wordt gebruikt gebaseerd op het bluetooth MAC-adres van het slot, dat eenvoudig is te achterhalen. Daarnaast is het proces voor het genereren van de vereiste encryptiesleutel uit de smartphone-app te halen. De ontwikkelaars hebben hiervoor een zelfgemaakt protocol bedacht. "Zoals de afgelopen jaar is aangetoond loopt het nooit goed af met in-house crypto", aldus de onderzoekers van antivirusbedrijf F-Secure die de problemen ontdekten.

Het protocol blijkt eenvoudig te reverse engineeren. Daardoor kan een aanvaller in een straal van vijftien meter het verkeer onderscheppen en ontsleutelen en zich vervolgens als gebruiker voordoen, aldus de onderzoekers. F-Secure waarschuwde de fabrikant, maar die stelt dat er geen mogelijkheid aanwezig is om de firmware te updaten. Er is dan ook geen oplossing op dit moment voorhanden, behalve het pairen met een apparaat dat zover als mogelijk van het slot is verwijderd, waardoor een aanvaller het verkeer niet kan onderscheppen, of het gebruik van een fysieke sleutel/pincode.

Schneier: VS zaait angst om encryptie-backdoors door te drukken

Ontwikkelaars Orcus RAT krijgen boete van 78.000 euro

Reacties (11)

12-12-2019, 15:33 door Anoniem

Of gewoon stoppen met deze domme 'slimme' oplossingen. Echt, dit is een gevalletje ondeugdelijke hardware, dus terug roep actie. Moeten auto makers ook. Dus laat KeyWe maar alle sloten terug betalen als ze dit niet fixen.

En eigen encryptie bedenken zo slecht, dat toont al aan dat ze er geen kaas van gegeten hebben. Failliet die toko!

TheYOSH

12-12-2019, 16:35 door Anoniem

De meeste slimme deursloten hebben zwakheden en daar zijn al diverse tests en nieuwsberichten over geweest. je huis beveiliging met een slim deurslot als het echt veilig moet zijn is geen oplossing, Alleen al googelen op kwetsbaar smart deurslot levert meer dan 3000 hits op. In het Engels nog meer. En als het slot niet kwetsbaar is dan is het wel de software of de App of de Cloud of het een brakke protocol implementatie of slechte procedures / handleiding.

12-12-2019, 16:36 door [Account Verwijderd]

Om een goed oordeel te vormen dacht ik: Laat ik de website van KeyWe bezoeken.
Dat is hxxps://thekeywe.com/
Prompt krijg ik een waarschuwing in Firefox m.b.t. een veiligheidsrisico aangaande het certificaat.
Doel bereikt. Mijn persoonlijke oordeel is nu goed onderbouwd!

12-12-2019, 16:43 door Anoniem

Ik vind het wel grappig hoe simpele afluistertruuks en replay attacks enzo keer op keer gewoon blijken te werken. Dat betekent dat de ontwerpers zich waarschijnlijk niet de bijbehorende basistechnieken hebben eigengemaakt. Hoewel er hele boeken over vol geschreven zijn, zelfs boeken die je gewoon zo op het 'web kan vinden. Gewoon, niet gelezen.

12-12-2019, 18:16 door Anoniem

Door Anoniem: De meeste slimme deursloten hebben zwakheden en daar zijn al diverse tests en nieuwsberichten over geweest. je huis beveiliging met een slim deurslot als het echt veilig moet zijn is geen oplossing,

Nee maar voor een gewoon cylinderslot geldt exact hetzelfde. Wat heb jij voor slot op de deur, een cylinderslot zeker?
M.a.w.: "het moet echt veilig zijn" dat is in de meeste situaties niet van toepassing, dus ook een beetje onzin om dat er
steeds bij te halen.

12-12-2019, 19:58 door Anoniem

Ik ben zelf al slim. Doe mij maar gewoon een 'dom' slot.

12-12-2019, 22:21 door [Account Verwijderd]

Door Anoniem:

Een 'gewoon' cilinderslot is momenteel een beschermd slot sk*** met kerntrekbeveiliging in combinatie met sk*** beschermingsklasse deurbeslag (schilden en klinken) uitgevoerd met sk*** insteekslot met eenslagsnachtschoot beschermd met 2 stuks hardstalen stiften sluitend in een 5 x geborgde schootkast met RVS dag/nachtschootplaat.
Wat ik hierboven beschrijf is de gangbare bouwbeslag uitvoering in recente woningbouw.

Hoezo moet het niet écht veilig zijn? Ben je er zo een die 's-nachts om 03:30 uur gaat bijbeunen of zo?
Verklaar: Wat is de onzin om dit erbij te halen?

13-12-2019, 08:42 door Anoniem

vaak is een simpel magneetje van genoeg sterkte al voldoende op dit soort domme sloten

13-12-2019, 10:20 door Anoniem

Door Philias:

Door Anoniem:

Je vergeet te melden dat een kenner dit soort cylindersloten vaak in een paar tellen open heeft.
Maar tegen een gelegenheidsinbreker werken ze prima.
Ditzelfde geldt voor een electronisch slot.
Er heerst hier kennelijk het beeld dat de gemiddelde straatcrimineel rondloopt met apparatuur en software, en dan
bijvoorbeeld slimme meters gaat hacken om te kijken of mensen thuis zijn, sleutels van slimme sloten gaat clonen
of codes kraken, etc. Maar zo werkt dat niet, ze gebruiken gewoon geweld.

En ook dat "maar je hebt hier toch niks aan???" komt steeds weer terug. Maar je hebt hier WEL wat aan. Met name
in situaties waar sleutelbeheer het probleem is en dat komt best vaak voor.
Stel jij wilt een huis verhuren via airbnb. Hoe ga je dat dan regelen met de toegang? Hoe krijgt die gast de sleutel als
ie midden in de nacht van schiphol komt? Hoe voorkom je dat ie een copietje maakt en binnen kan blijven komen?
Electronische sleutels voorzien daar in. Mechanische sloten niet.

13-12-2019, 14:14 door _R0N_

Door Philias: Om een goed oordeel te vormen dacht ik: Laat ik de website van KeyWe bezoeken.
Dat is hxxps://thekeywe.com/
Prompt krijg ik een waarschuwing in Firefox m.b.t. een veiligheidsrisico aangaande het certificaat.
Doel bereikt. Mijn persoonlijke oordeel is nu goed onderbouwd!

Het certificaat is al sinds April verlopen.
idd niet echt een goede beurt voor een bedrijf in beveiliging.

14-12-2019, 12:52 door Anoniem

Door Anoniem: Stel jij wilt een huis verhuren via airbnb. Hoe ga je dat dan regelen met de toegang? Hoe krijgt die gast de sleutel als'ie midden in de nacht van schiphol komt? Hoe voorkom je dat ie een copietje maakt en binnen kan blijven komen?
Electronische sleutels voorzien daar in. Mechanische sloten niet.

Da's niet helemaal waar. Electronische sleutels maken sommige aspecten van sleutelbeheer makkelijker, maar het kan evenzogoed makkelijker foutgaan. Meestal zal het toch met een kaartje gaan want lang niet iedereen heeft een smartphone met rfid/nfc en wil er dan ook gelijk de juiste "app" op hebben. Dus dan ben je weer terug bij zelf overhandigen en bij weggaan de sleutel in de bus oid. Plus, ik zou als verhuurder het niet leuk vinden mensen ongezien binnen te laten, minstens één persoonlijk contactpunt is wel het minste.

En een kopietje trekken van een mechanische sleutel kan ook niet altijd zomaar. Er zijn sleutels waar kopieëren per patent beschermd is en dus kun je het niet bij de reguliere sleutelnamaker. En dan zit je al zo in het criminele circuit dat je als verhuurder hele andere problemen hebt, mocht je daarmee te maken hebben. Een electronische sleutel is makkelijker te kopieëren maar ook makkelijker uit te schakelen... maar dan moet je dat dus wel doen.

Daarnaast denk ik dat kopietjes trekken marginaal interessant is voor een airb&b-gast, want komt'ie later terug dan zitten er anderen en dat geeft bonje. Of het moet om een moedwillige dief gaan, maarja, het is niet heel ingewikkeld om de gastenlijst af te gaan en te kijken wie er tijdens de diefstal in de buurt was. Ongeveer dezelfde reden dat hotels ook niet heel veel gedonder hebben met onderhands gekopieerde sleutels, et cetera.

Maargoed, je zou hetzelfde zelfs nog makkelijker met een instelbaar cijferslot kunnen doen. Dat scheelt "apps" en weetikhet. Gewoon die cijfercode in de mail en je bent er ook.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer