Die letzte Woche war geprägt von einigen interessanten Neuigkeiten aus der unsicheren Welt der Internet-Dinge, und das Hauptereignis war natürlich das Studium des Tapplock Smart Lock (
Nachrichten ,
Originalbericht ). Andrew Tierney, ein Forscher bei Pen Test Partners, umging nicht nur den Schutz eines elektronischen Schlosses, sondern entdeckte auch das völlige Fehlen eines Sicherheitssystems im "digitalen" Teil des Geräts.
Das Tapplock-Schloss wurde erstmals 2016 als Konzept gezeigt. Gleichzeitig starteten die Entwickler des Geräts eine Kampagne auf
Indiegogo , in der 40.000 US-Dollar
gesammelt werden sollten , um fertige Prototypen in Erinnerung zu rufen und die ersten Geräte zu veröffentlichen. „Das weltweit erste intelligente Schloss mit einem Fingerabdruckscanner“ versprach die unglaubliche Leichtigkeit, keine schweren Schlüsselanhänger in den Taschen zu haben, die Verbindung zu einem Smartphone und die Möglichkeit, den Zugriff mit Freunden zu teilen, die Steuerbarkeit über Bluetooth und die Fernentriegelung. Allerdings: unglaubliche Sicherheit, einschließlich AES-128-Verschlüsselung in Militärqualität. Und dieses Schloss muss aufgeladen werden.
Natürlich wissen wir, dass der Nachweis der Zuverlässigkeit durch die Angabe eines Verschlüsselungsstandards ziemlich sinnlos ist, aber lassen Sie uns den Computerteil nicht gleich diskutieren, aber hier haben wir ein Mittel, um die physische Sicherheit zu gewährleisten. Die Geschichte dieses Fehlers begann tatsächlich mit einem Video auf YouTube auf dem beliebten JerryRigEverything-Kanal, in dem es nicht um das Internet und die Sicherheit geht, sondern um die Analyse der Geräte, die zur Hand waren. Der Autor des Videos zeigt, wie die von der Armee genehmigte Verschlüsselung mit einem Schraubenzieher umgangen werden kann.
Hier interessierte sich Andrew Tierney für dieses Video, kaufte ein Schloss (84 US-Dollar auf der
offiziellen Website ) und stellte zunächst fest, dass der Schraubenzieher-Star von YouTube falsch zu sein schien. Andrew gelang es nicht, das Schloss zu zerlegen, wie sich beim vorherigen Cracker herausstellte, obwohl für GoPro und andere improvisierte Werkzeuge auf der Innenseite der Abdeckung ein festgeklebter Hebel aus der Halterung verwendet wurde. Anscheinend gab es eine fehlerhafte Probe und Tapplocks Ruf wurde vollständig wiederhergestellt. Huh?
Nein! Wie schade, dass so viele gute Witze verschwendet wurden. Okay, die anfängliche Aussage der Entwickler des Schlosses über das höchste Sicherheitsniveau ist im Allgemeinen zweifelhaft: Dies ist ein gewöhnliches kleines Schloss, wenn auch mit einer Batterie. AES muss nicht gehackt werden, ein mittelgroßer Bolzenschneider erledigt dies. Der Forscher Andrew Tierney entschied sich für den digitalen Teil und stellte zunächst fest, dass das Schloss über Bluetooth über HTTP ohne Verschlüsselung mit dem Smartphone kommuniziert (obwohl derselbe AES-128 ursprünglich für den Bluetooth-Teil angekündigt wurde!). Mithilfe der Verkehrsanalyse konnten wir die Leitung identifizieren, die das Gerät als vertrauenswürdig identifizierte, und in allen Fällen blieb sie unverändert. Wenn Sie dieselbe Funktion "Mit einem Freund teilen" verwenden, geben Sie ihm tatsächlich ein festes "Passwort", das dann, wie sich herausstellt, nicht zurückgerufen werden kann. Darüber hinaus wurde weiter klar, dass selbst eine vollständige Entkopplung des Schlosses vom Telefon des Eigentümers (zum Beispiel zum Weiterverkauf) den Autorisierungscode nicht änderte.
Wie? Und so. Die Art und Weise, genau diesen Code zu generieren, trug dazu bei, die Illusion des Schutzes endgültig zu brechen. Wie sich herausstellte, benötigen Sie hierfür nur die MAC-Adresse des eingebauten Bluetooth Low Energy-Moduls. Dieselbe MAC-Adresse, die das Modul offen an alle sendet. Auf diese Weise ist es möglich, jeden Tapplock in der Nähe (im Bereich von Bluetooth) in Sekundenschnelle aus der Ferne und einfach zu hacken. Der Forscher benachrichtigte den Hersteller an derselben Stelle, an der er etwa antwortete: "Danke,
aber wir wissen Bescheid ." Da dies nicht einmal eine Sicherheitslücke ist und die Methode zur Umgehung des Schutzes an der Oberfläche liegt, setzte Andrew eine ungewöhnliche Frist vor der Offenlegung von Informationen in sieben Tagen, wonach er eine Studie veröffentlichte. Tapplock antwortete mit einem vagen Versprechen eines
Updates . Später wurde eine vollständige Überarbeitung der Software versprochen, und es scheint sogar eine theoretische Möglichkeit zu geben, die Situation zu korrigieren - es geht nicht um die Hardware. Wird es möglich sein, den Ruf zu verbessern? Lassen Sie uns vorerst sehen, dass Tapplock-Geräte trotz der ziemlich breiten Medienberichterstattung über das Problem immer noch zum Verkauf stehen.
Übrigens über Insolvenzen aufgrund von Schwachstellen. Letztes Jahr haben wir über die
Schwachstellen von mit dem Internet verbundenem Spielzeug unter der Marke Cloudpets geschrieben. In dieser Geschichte war der Schutz vor Null in der IoT-Welt bereits bekannt, und selbst mit dem Verlust sehr privater Daten und exotischen Managementkommentaren im Stil von "Es ist normal, jeder macht es so."
Seitdem hat der Spielzeughersteller geschlossen, aber die Sicherheitsprobleme bereits verkaufter Geräte sind nicht verschwunden. Darüber hinaus fanden die Forscher ein paar neue Löcher in ihnen (
Nachrichten ), Spielzeug klopft weiterhin an die Domäne für die Synchronisation, die zum Verkauf steht und möglicherweise in Zukunft abgefangen wird. Wenn Sie an Millionen bereits verkaufter IoT-Geräte mit unverständlichem oder fehlendem Schutz denken, wird es wirklich traurig. Der einzige "Grund für Optimismus" ist, dass bisher nicht die Schlösser und nicht die Bären mit Wi-Fi angreifen, sondern die Router, bei denen auch alles sehr schlecht, aber nicht so schlecht ist. Also leben wir.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.