image

Duitse overheid waarschuwt draadloos Abus-slot niet te gebruiken

donderdag 11 augustus 2022, 07:41 door Redactie, 14 reacties

De Duitse overheid heeft een waarschuwing gegeven voor een kritieke, niet te verhelpen kwetsbaarheid in een draadloos slot van fabrikant Abus en adviseert het product te vervangen. Het gaat om de Abus HomeTec Pro CFA 3000, een draadloze deurslotaandrijving voor het vergrendelen en ontgrendelen van deuren. Het slot is te bedienen met een afstandsbediening of draadloos toetsenbord.

Een kwetsbaarheid in het slot maakt het mogelijk voor een aanvaller in de buurt om deuren te openen, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Abus heeft de kwetsbaarheid bevestigd, maar zegt die niet te kunnen verhelpen. Daarnaast is het kwetsbare model vorig jaar vervangen door een nieuwer model dat via bluetooth werkt en volgens het BSI niet kwetsbaar is.

De kwetsbare versie is echter nog wel te koop. Daarnaast lijkt de veiligere opvolger visueel erg veel op zijn voorganger. Vanwege het risico dat onbevoegden toegang kunnen krijgen doen gebruikers er verstandig aan het product te vervangen, aldus de Duitse overheidsinstantie. Details over hoe er precies misbruik van het slot kan worden gemaakt zijn niet door het BSI gegeven.

Reacties (14)
11-08-2022, 08:11 door [Account Verwijderd] - Bijgewerkt: 11-08-2022, 08:12
Inbrekers, welkom in het 'slimme' huis van de toekomst! Neen de sleutel ligt niet meer onder de overbekende derde bloempot met karakteristieke barst links van de voordeur, maar is met wat gefröbel en gebastel met je smartphone open te krijgen. Zoiets dus?

Ik vraag mij af of Chriet Titulaer dat bedoelde/voorzag met zijn huis van de toekomst...
https://nl.wikipedia.org/wiki/Huis_van_de_Toekomst_(Nederland)
11-08-2022, 08:32 door gradje71
Door Quink: Ik vraag mij af of Chriet Titulaer dat bedoelde/voorzag met zijn huis van de toekomst...
https://nl.wikipedia.org/wiki/Huis_van_de_Toekomst_(Nederland)

Tja daar zeg je me wat. Nee, ik denk niet dat hij dat voorzag, maar hij zag natuurlijk ook niet de bende mediocre ontwikkelaars die zoveel schade veroorzaken, en ik denk ook niet dat hij de initiatieven overzag om snel even geld te genereren.
11-08-2022, 10:35 door Anoniem
Het slot is te openen met een asymetrische transversaal aanval. Dat is wel heel slordig van de ontwerpers.
11-08-2022, 11:53 door Anoniem
Op de ABUS website is nog niets te lezen. Neem aan dat de Duitse autoriteiten wel contact met deze club hebben opgenomen.
11-08-2022, 12:35 door spatieman
Qoute: Daarnaast is het kwetsbare model vorig jaar vervangen door een nieuwer model dat via bluetooth werkt en volgens het BSI niet kwetsbaar is.

Hier wordt mijn kaka een beetje vloeibaar door......
11-08-2022, 12:47 door Anoniem
Ik heb 14 jaar in de beveiligingswereld gewerkt en heb heel wat 'security' gerelateerd spul zien langskomen.
Er was spul, dat dermate slecht was ontworpen, dat je niet van beveiliging maar van regelrechte rotzooi kon spreken.
En nu hoor je dit geval weer, nu van Abus.

En ja, de werkgever eiste natuurlijk een geheimhoudingsverklaring te tekenen.
Verder mag ik er dus niets over kwijt.
11-08-2022, 13:53 door Anoniem
Klinkt als iets voor LPL (LockPickingLawyer).\, die heeft uit mijn herinnering wel eens een draadloos slot geopend door er tegen te stoten o.i.d. vaak zit de beveiliging dan voornamelijk aan de digitale kant.
11-08-2022, 14:59 door Anoniem
Slimme devices,Smart,lots,al,algoritmes

Het ondermijnd het spontane menselijk gedrag,
het sloopt zelfvermogen om te denken en te creeren van creativiteit
mensen worden slaven en hangen in een digitaal vierkantje aan
het digitale cloudsysteem van de eu.

Je mag steeds minder maar moet steeds meer en burgers beginnen het langzaam maar zeker
in te zien waar het heen gaat,mensen kunnen het tij keren,
techbedrijven en overheden veranderen pas mee als de burger het niet meer wilt.

The Matrix
11-08-2022, 15:23 door Reinder
Door Anoniem: Klinkt als iets voor LPL (LockPickingLawyer).\, die heeft uit mijn herinnering wel eens een draadloos slot geopend door er tegen te stoten o.i.d. vaak zit de beveiliging dan voornamelijk aan de digitale kant.

Dat heeft hij meerdere keren gedaan, op verschillende manieren. Die methode waar jij het over hebt klinkt als een van de bekende kwetsbaarheden waarbij je door met een hamer tegen de zijkant te tikken een van de mechanische onderdelen kan manipuleren, zoals de actuator. Dat is een aanval tegen de mechanische componenten van het slot, net zoals bijv het gebruik van een krachtige magneet. In dit geval betreft het een aanval tegen een kwetsbaarheid in het digitale deel van het slot.
Die zijn net zo goed kwetsbaar als elk ander digitaal apparaat, alhoewel Abus over het algemeen behoorlijk zorgvuldig is.
11-08-2022, 15:45 door Anoniem
Oef.. En dan wel gestest en gecertificeerd door dat zgn gerenomeerde Av-Test: https://www.iot-tests.org/2022/02/certified-abus-hometec-pro/

Commissioned to carry out our extensive AV-TEST certification tests, we took a close look at the new smart lock. In the following, we would like to explain how well and securely the relevant security areas were designed and implemented.
12-08-2022, 14:06 door Anoniem
Door Anoniem: Oef.. En dan wel gestest en gecertificeerd door dat zgn gerenomeerde Av-Test: https://www.iot-tests.org/2022/02/certified-abus-hometec-pro/[/i]
Het staat in het artikel als je het goed leest:
Daarnaast is het kwetsbare model vorig jaar
(dus 2021)
vervangen door een nieuwer model dat via bluetooth werkt en volgens het BSI niet kwetsbaar is.
Aangezien de test uit februari 2022 is en het om een bluetooth versie ging, neem ik dan aan dat dit die vernieuwde versie is zonder de kwetsbaarheid.
12-08-2022, 15:06 door Anoniem
Door Anoniem: Oef.. En dan wel gestest en gecertificeerd door dat zgn gerenomeerde Av-Test: https://www.iot-tests.org/2022/02/certified-abus-hometec-pro/

Commissioned to carry out our extensive AV-TEST certification tests, we took a close look at the new smart lock. In the following, we would like to explain how well and securely the relevant security areas were designed and implemented.

De geteste slot is de bluetooth versie, hier gaat het om een RF variant. Die "garage deur openers" zijn zo lek als een mandje.
Er is ook nog een Z-wave versie (niet veel veiliger).

De BLE versie verklaart men wel dat "veilig" is maar BLE is van nature een vrij insecure protocol; low power, weinig cpu/geheugen mcu's, compatibiliteit. = ook afhankelijk van de versie natuurlijk (5.2 is beter dan 5.0) en van degene die het implementeert

A survey on Bluetooth Low Energy security and privacy
https://www.sciencedirect.com/science/article/pii/S1389128621005697

Considering all the vulnerabilities and attacks described in the
previous section, it may seem very hard to design a secure BLE device.
However, as we have also seen, the Bluetooth SIG responded to most
threats and provided ways to mitigate them. Therefore, building a
secure BLE device can be achieved for the most part by making use
of all security mechanisms provided by the specification in its most
current version

Eens zo'n slot bestellen we hebben hier veel lol met hacken van die dingen en het is meestal verbazend makkelijk als je die koffer met apperatuur hebt zoals hier.
16-08-2022, 08:05 door Anoniem
Door Anoniem: Slimme devices,Smart,lots,al,algoritmes

Het ondermijnd het spontane menselijk gedrag,
het sloopt zelfvermogen om te denken en te creeren van creativiteit
mensen worden slaven en hangen in een digitaal vierkantje aan
het digitale cloudsysteem van de eu.

Je mag steeds minder maar moet steeds meer en burgers beginnen het langzaam maar zeker
in te zien waar het heen gaat,mensen kunnen het tij keren,
techbedrijven en overheden veranderen pas mee als de burger het niet meer wilt.

The Matrix

Of het prikkelt juist om dingen te proberen, het is maar hoe je in het leven staat.
Harry Potter en de Geheime kamer.
17-08-2022, 17:56 door Anoniem
Het zoveelste bericht over onveilige deursloten

Bestaat er eigenlijk wel een veilig digitaal deurslot?
Zomaar even een vraag. Heb er heel wat voorbij zien komen in de afgelopen jaren.

Heb een vermoeden dat dit een utopie is, zolang slotenboeren denken dat ze ICT specialisten zijn zal het ook wel niet veilig worden. Het zijn stuk voor stuk cowboys waar niet goed testen en time to market alles is. En het mag qua ontwikkeling niks kosten....

Kortom: als je iets te beveiligen hebt moet je niet je slot vervangen door iets draadloos/electronisch, dat is vragen om ellende. Blijf erbij weg!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.