image

Opnieuw slim bluetooth-deurslot door beveiligingslek te openen

vrijdag 2 augustus 2019, 11:13 door Redactie, 11 reacties

Onderzoekers hebben opnieuw een slim bluetooth-deurslot ontdekt dat door een combinatie van lekken door een aanvaller is te openen. Een beveiligingsupdate van de fabrikant is nog niet beschikbaar. De problemen zijn aanwezig in de 170 dollar kostende Hickory smart bluetooth enabled deadbolt.

Het slot is via een smartphone-app te bedienen. De app blijkt de gevoelige data niet veilig op te slaan, waardoor andere apps er toegang toe kunnen krijgen. Daarnaast is er een kwetsbaarheid aanwezig in de API waar het slot gebruik van maakt. Eigenaren van het slot kunnen accounts voor gebruikers aanmaken en die vervolgens weer uitschakelen. Deze gebruikers blijken via de programmeerinterface nog steeds toegang te kunnen krijgen tot informatie waarmee ze het slot kunnen bedienen. Verder blijkt dat de gebruikersnaam en het wachtwoord onversleuteld over het netwerk worden verstuurd.

Via de kwetsbaarheden kan een aanvaller het slot op dezelfde manier bedienen als de oorspronkelijke eigenaar. Fabrikant Hickory Hardware werd op 16 mei door onderzoeker Deral Heiland van securitybedrijf Rapid7 over de kwetsbaarheden geïnformeerd. Op 1 juli informeerde de onderzoeker het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Nu er meer dan 60 dagen sinds de oorspronkelijke waarschuwing zijn verlopen en er geen patch beschikbaar is heeft Rapid7 de details openbaar gemaakt. Eind juni lieten andere onderzoekers zien dat een slim bluetooth-deurslot van fabrikant U-tec door de aanwezigheid van verschillende kwetsbaarheden ook was te openen.

Reacties (11)
02-08-2019, 11:28 door Anoniem
ik begrijp niet zo goed waarom innovatieve producten (niet alleen deze!) gebruik blijven maken van technologie waarvan bekend is dat ze bij onzorgvuldige implementatie pertinent onveilig zijn, of gewoon onveilig...

Letterlijk wel aan de voordeur ontwikkelen met een op afstands- bedienbaar slot, maar de 'achterdeur' open laten staan ...

DDK
02-08-2019, 14:35 door Anoniem
Door Anoniem: ik begrijp niet zo goed waarom innovatieve producten (niet alleen deze!) gebruik blijven maken van technologie waarvan bekend is dat ze bij onzorgvuldige implementatie pertinent onveilig zijn, of gewoon onveilig...

Letterlijk wel aan de voordeur ontwikkelen met een op afstands- bedienbaar slot, maar de 'achterdeur' open laten staan ...

DDK

SCRUM, geld, CEO's. stress.

Ik denk niet dat er veel geld zit in het samenwerken aan een open-source smart-deursloten API.

Ook zou er gewoonweg een deftig keurmerk op de markt moeten komen voor dit soort producten.
02-08-2019, 15:46 door Briolet
Het lijken me wel allemaal moeilijk te misbruiken kwetsbaarheden.

Via de kwetsbaarheden kan een aanvaller het slot op dezelfde manier bedienen als de oorspronkelijke eigenaar.

Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
02-08-2019, 16:26 door Anoniem
Door Briolet: Het lijken me wel allemaal moeilijk te misbruiken kwetsbaarheden.

Via de kwetsbaarheden kan een aanvaller het slot op dezelfde manier bedienen als de oorspronkelijke eigenaar.

Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
Inderdaad, maar dat is een kwestie van de cylinders vervangen, sowieso een goed idee als je nog geen SKG*** cylinder hebt. Cylinders vervangen is een fluitje van een cent en bv. M&C zijn relatief goedkoop en zo bij de bouwmarkten te verkrijgen
02-08-2019, 19:58 door Anoniem

Ik denk niet dat veel mensen een 2e hands deurslot gebruiken

Tenzij het bij het huis zit dat je kocht (en dan nog zou ik persoonlijk een factory-reset willen of het hele zooitje vervangen)
03-08-2019, 12:47 door Anoniem
Enig idee hoe makkelijk een fysiek slot te kraken is? (ook al is het een SKG *** slot).

Leuk dat er exploits op elektronische sloten zit, maar fysiek een slot kraken is vaak veel eenvoudiger dan ingewikkeld een elektronisch slot hacken.
03-08-2019, 13:28 door [Account Verwijderd]
Ik heb nooit enige relevantie gezien in het begrip 'slim' gerelateerd aan artefacten. Artefacten zijn stom/dom en 100% dode materie zonder menselijke interactie.

De mens als consument heeft dit zich allemaal aan laten praten.
In eerste instantie door Apple die ermee begon. Zomaar uit het niets werd een computer i 'intelligent' de iMac (1998)

En daarmee was het hek van de dam voor deze onzin kwalificatie, en de perceptueel verslaafde mens slikt dit allemaal als zoete broodjes over de toonbank: Als er een i voor staat of het ding smart is moet het toch wel deugen??

Smart deurslot? In het land der blinden is éénoog koning... het is dus zinloos, maar toch meld ik de in dit geval zo voor de hand liggende kwetsbaarheden: De app kan corrupt/gehackt raken/worden, de telefoon kan gestolen worden/verloren raken, zijn accu, maar ook van het slot kan leeg raken, of misschien wel in brand vliegen (komt ook voor; Li-ion)
Wat is hier feitelijk 'smart' aan?


Counterfact:

Wat is nu menselijk gezien slimmer dan toepassing van een gewone cilinder met kerntrekbeveiliging zoals bijvoorbeeld dit: https://www.veiligheids-sloten.nl/3xnemef1329-kerntrekbeveiliging
De kwaliteit valt hier al bijna onder bouwbeslag dus is zelfs minimaal te noemen. Toch: afgezien van inbraakrisico - wat altijd blijft bestaan - is het enige reële risico qua gebruiksgemak: verlies van de sleutel. Risicobeperking: reservesleutel op toegankelijke plaats (familie, betrouwbare buren)

Hoe dommer het slot, hoe slimmer zijn gebruiker, en tot die laatste groep reken ik mijzelf.

Goed weekend allemaal!
04-08-2019, 07:36 door Anoniem
Ook zou er gewoonweg een deftig keurmerk op de markt moeten komen voor dit soort producten.
Ja, want alles waar 'keurmerk' op staat is 'goed' ofzo?

Doe maar gewoon een fysiek slot met fysieke sleutels. Als je daar een redelijk model van uitzoekt, is 'copietje maken' al een stuk lastiger. En ik kan ze gewoon tellen om te weten hoeveel het er zijn. Als die 'smart' dingen zijn helemaal niet smart. Het ziet er alleen fancy uit als je met je telefoon (je weet wel, dat apparaat bedoeld om te bellen!) de deur open kan maken.

Wellicht is er voor grotere organisaties nog wat voor electronische sloten te zeggen - scheelt een hoop gedoe met sleutels. Maar voor een particulier??
04-08-2019, 09:19 door svkost - Bijgewerkt: 04-08-2019, 09:20
Een slim deurslot is erg praktisch voor gezinnen met kinderen of met mensen die het huis alleen op bepaalde tijden in mogen. Ik heb zelf voor een slim deurslot gekozen (https://entrlock.com) omdat ik mijn kinderen (6 en 9 jaar oud) geen fysieke sleutel mee wil geven.

De deur heeft de mogelijkheid om met code of vingerafdruk geopend te worden (naast een app die op bluetooth werkt en een los 'knopje'). Elk kind heeft zijn eigen code. Mocht een code vergeten zijn, wis je de gebruiker en maak je een nieuwe aan. Je kunt ook bijvoorbeeld een schoonmaker toegang geven op maandag tussen 9:00 en 11:00.

Het slot zelf heeft geen internet verbinding en is dus alleen op korte afstand te openen met een app. De fysieke sleutel van het slot kan alleen nagemaakt worden als je de desbetreffende smartcard hebt waarmee de sleutelmaker hem kan dupliceren. Al met al een goed ontworpen slot van een gerenommeerd bedrijf.

De vraag is ook wat veiliger is: een fysieke sleutel meegeven aan kinderen (die ze makkelijk kunnen verliezen; en dan? nieuwe cylinder?), of een code, die je zo kan veranderen of wissen.

Beveiliging is altijd mitigeren van risico's en in mijn geval vind ik het veiliger om een slim slot te hebben zonder fysieke sleutels te hoeven distribueren.
04-08-2019, 15:21 door Anoniem
Dat krijg je nou als de geheime-dienst er een backdoor in bouwt.
06-08-2019, 00:55 door Anoniem
Door Briolet: Het lijken me wel allemaal moeilijk te misbruiken kwetsbaarheden.

Via de kwetsbaarheden kan een aanvaller het slot op dezelfde manier bedienen als de oorspronkelijke eigenaar.

Ik denk niet dat veel mensen een 2e hands deurslot gebruiken. Bovendien geldt het zelfde probleem voor 'ouderwetse' deursloten. Als je die 2e hands koopt, kan de oude eigenaar ook een sleutel achtergehouden hebben.
Daar gaan we weer.
Is al eerder op vergelijkbare manieren foutgegaan, leren ze het dan nooit. Kennelijk gaan die fabrikanten gewoon voor het snelle geld. Ze blijven dezelfde security missers in zowel slot als app maken en ontkennen alle aansprakelijkheid zondermeer en komen daar ook nog mee weg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.