Sikkerhetsforskere i finske F-Secure har oppdaget at det er mulig for uvedkommende å avlytte deler av nettverkstrafikken mellom smartlåsen KeyWe og mobilappen som eierne kan bruke til å låse opp låsen. Dette gjør det mulig for potensielle tyver å fange opp det hemmelige passordet som kreves for å ta kontroll over låsen. Dette til tross for at det oppgis at kommunikasjonen mellom lås og app er kryptert med 128 bit AES-teknologi.
Årsaken til at dette er mulig, er ifølge F-Secure dårlig implementering av kommunikasjonsprotokollene som benyttes. I teorien kan dette rettes ved å oppdatere låsens fastvare. Problemet er at produktet ikke tilbyr noen slik oppdateringsmekanisme. Låsen vil dermed være sårbar for angrep inntil den destrueres.
Enkelt å omgå sikkerheten
Låsen har vært på markedet siden 2018 og blir presentert som den smarteste låsen noensinne. Den er utviklet som et Kickstarter-prosjekt og selges blant annet gjennom Amazon. Det er usikkert om noen i Norge har kjøpt den, men den er likevel et veldig godt eksempel på hva som kan gå galt når sikkerheten i et IoT-produkt ikke er helt gjennomtenkt.
Nulldagssårbarhet: Ber Ivanti-brukere ta grep umiddelbart
– Låsen har flere beskyttelsesmekanismer. Dessverre gjør låsens design det ganske enkelt å omgå disse mekanismene for å avlytte meldinger som utveksles mellom låsen og appen, noe som gjør den åpen for et ganske enkelt angrep. Det er ingen måte å stoppe dette på, så å komme inn i hjem som er beskyttet av denne låsen er et trygt valg for innbruddstyver som er i stand til å etterligne hackingen, sier IT-sikkerhetskonsulenten Krzysztof Marciniak i F-Secure i en pressemelding.
– Alt angriperne behøver er litt kunnskap, en enhet som hjelper dem med å fange opp trafikken – noe som kan kjøpes hos mange forbrukerelektronikkbutikker for så lite som ti dollar – og litt tid til å finne låseierne, fortsetter Marciniak.
Han sier videre at sikkerhet ikke er slik at én størrelse passer alle.
– Det må tilpasses for å ta hensyn til brukeren, omgivelsene, trusselmodellen og annet. Å gjøre dette er ikke enkelt, men dersom leverandører av IoT-enheter skal levere produkter som ikke kan motta oppdateringer, er det viktig at disse enhetene bygges for å være sikre fra bunnen av, avslutter Marciniak.
Lover oppdatering – til helt nye enheter
Ifølge den tekniske rapporten om sårbarheten har leverandøren av låsen vært lydhøre etter at de fikk vite om sårbarheten. Det loves at sårbarheten skal rettes og at det skal bli mulig å oppdatere smartlåsens fastvare, men dette gjelder kun framtidige enheter. Når disse oppdaterte enhetene vil bli tilgjengelige, er ikke kjent for F-Secure.
I mellomtiden fortsetter tilsynelatende salget av de sårbare smartlåsene som ikke kan oppdateres.
– Erklært død for 30 år siden, men fortsetter å vise styrke
