SIKKERHET

Smartlås kan ikke oppdateres. Vil for alltid være åpen for angrep

Bekvemmelighet kommer alltid på bekostning av sikkerheten, mener F-Secure.

Kommunikasjonen mellom appen og låsen kan avskjæres, noe som gjøre det mulig for innbruddstyver å låse opp låsen på egenhånd.
Kommunikasjonen mellom appen og låsen kan avskjæres, noe som gjøre det mulig for innbruddstyver å låse opp låsen på egenhånd. Foto: KeyWe
Harald BrombachHarald BrombachNyhetsleder
13. des. 2019 - 18:00

Sikkerhetsforskere i finske F-Secure har oppdaget at det er mulig for uvedkommende å avlytte deler av nettverkstrafikken mellom smartlåsen KeyWe og mobilappen som eierne kan bruke til å låse opp låsen. Dette gjør det mulig for potensielle tyver å fange opp det hemmelige passordet som kreves for å ta kontroll over låsen. Dette til tross for at det oppgis at kommunikasjonen mellom lås og app er kryptert med 128 bit AES-teknologi. 

Årsaken til at dette er mulig, er ifølge F-Secure dårlig implementering av kommunikasjonsprotokollene som benyttes. I teorien kan dette rettes ved å oppdatere låsens fastvare. Problemet er at produktet ikke tilbyr noen slik oppdateringsmekanisme. Låsen vil dermed være sårbar for angrep inntil den destrueres. 

Enkelt å omgå sikkerheten

Låsen har vært på markedet siden 2018 og blir presentert som den smarteste låsen noensinne. Den er utviklet som et Kickstarter-prosjekt og selges blant annet gjennom Amazon. Det er usikkert om noen i Norge har kjøpt den, men den er likevel et veldig godt eksempel på hva som kan gå galt når sikkerheten i et IoT-produkt ikke er helt gjennomtenkt.

1password har nå utvidet passnøkkelstøtten til Android-folket.
Les også

Stor passordtjeneste: Får støtte for «passnøkler» til Android

– Låsen har flere beskyttelsesmekanismer. Dessverre gjør låsens design det ganske enkelt å omgå disse mekanismene for å avlytte meldinger som utveksles mellom låsen og appen, noe som gjør den åpen for et ganske enkelt angrep. Det er ingen måte å stoppe dette på, så å komme inn i hjem som er beskyttet av denne låsen er et trygt valg for innbruddstyver som er i stand til å etterligne hackingen, sier IT-sikkerhetskonsulenten Krzysztof Marciniak i F-Secure i en pressemelding

– Alt angriperne behøver er litt kunnskap, en enhet som hjelper dem med å fange opp trafikken – noe som kan kjøpes hos mange forbrukerelektronikkbutikker for så lite som ti dollar – og litt tid til å finne låseierne, fortsetter Marciniak.

Han sier videre at sikkerhet ikke er slik at én størrelse passer alle. 

– Det må tilpasses for å ta hensyn til brukeren, omgivelsene, trusselmodellen og annet. Å gjøre dette er ikke enkelt, men dersom leverandører av IoT-enheter skal levere produkter som ikke kan motta oppdateringer, er det viktig at disse enhetene bygges for å være sikre fra bunnen av, avslutter Marciniak.

Lover oppdatering – til helt nye enheter

Ifølge den tekniske rapporten om sårbarheten har leverandøren av låsen vært lydhøre etter at de fikk vite om sårbarheten. Det loves at sårbarheten skal rettes og at det skal bli mulig å oppdatere smartlåsens fastvare, men dette gjelder kun framtidige enheter. Når disse oppdaterte enhetene vil bli tilgjengelige, er ikke kjent for F-Secure. 

I mellomtiden fortsetter tilsynelatende salget av de sårbare smartlåsene som ikke kan oppdateres. 

Steven Bos er nyslått doktor og har forsket på såkalt trinær databehandling, det vil si datamaskiner som ikke bare opererer med null og en, men har en tredje verdi i tillegg.
Les også

– Dette kan være en «game changer» for kunstig intelligens

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.