image

Kwetsbaarheid maakt uitschakelen en overnemen Nuki Smart Locks mogelijk

woensdag 27 juli 2022, 12:39 door Redactie, 5 reacties

In de smart locks en bridges van fabrikant Nuki zijn meerdere kwetsbaarheden ontdekt waardoor het mogelijk is voor een aanvaller om een denial of service te veroorzaken of in het ergste geval de apparaten over te nemen. De fabrikant heeft inmiddels firmware-updates uitgebracht om de problemen te verhelpen.

Nuki biedt verschillende smart locks die via een smartphone zijn te bedienen. Via de Nuki Bridge is het mogelijk om de sloten vanaf over de hele wereld te bedienen. Het apparaat fungeert als een link tussen het slot en het wifi-netwerk van de huiseigenaar. Onderzoekers van NCC Group analyseerden het Nuki Smart Lock en Bridge en troffen elf kwetsbaarheden aan waardoor verschillende soorten aanvallen mogelijk zijn.

De impact van de elf kwetsbaarheden varieert op een schaal van 1 tot en met 10 tussen de 1.9 en 8.8. Via een beveiligingslek aangeduid als CVE-2022-32504, met een impactscore van 8.8, is het mogelijk voor een aanvaller om via een speciaal geprepareerd JSON-packet een buffer overflow te veroorzaken en zo willekeurige code op het Nuki Smart Lock of Bridge uit te voeren.

Een ander beveiligingslek (CVE-2022-32509), waarvan de impact met een 8.5 is beoordeeld, maakt man-in-the-middle-aanvallen mogelijk. De Nuki-apparaten blijken namelijk de TLS-certificaten, gebruikt voor het versleutelen van netwerkverkeer, niet te valideren. Daardoor kan een aanvaller via een malafide certificaat een proxy opzetten en zo netwerkverkeer onderscheppen en aanpassen.

Door CVE-2022-32504 en CVE-2022-32509 te combineren kan een aanvaller kwetsbare Nuki-apparaten overnemen. Daarnaast is het mogelijk om zowel het Nuki Smart Lock als Bridge via een denial of service-aanval uit te schakelen. Dit is mogelijk door het versturen van speciaal geprepareerde http- en bluetooth-pakketten. Nuki werd op 20 april van dit jaar over de kwetsbaarheden ingelicht en bracht op 9 juni een update uit. In de release notes wordt alleen gesproken over "bug fixes", maar in een blogpost wijst Nuki erop dat het om een "security-critical firmware update" gaat.

Reacties (5)
27-07-2022, 13:10 door Anoniem
Waarom moet je alles met het internet verbinden? Wat is er mis met een normale sleutel?
27-07-2022, 14:05 door Anoniem
Door Anoniem: Waarom moet je alles met het internet verbinden? Wat is er mis met een normale sleutel?

Een normale sleutel kun je niet op afstand overdragen, kun je niet op afstand intrekken, kun je niet limiteren tot bepaalde tijdstippen, kun je duplicaten niet van controleren , heb je geen zicht op gebruik door wie/wanneer etc etc etc.

Wat is het toch met die idioten hier die denken "slim" te zijn en werkelijk niet in staat zijn te denken aan gebruiksscenario's buiten hun eigen tuinschuurtje .

Maar er zijn zeker genoeg situaties waarin de mogelijkheden van een smart lock gewoon ontzettend veel toevoegen aan het gehannes met sleutels, duplicaten, master keys - en wat daar ook allemaal mee mis kan gaan. (zie de LPL...)
In tegenstelling tot gehackte metalen cilinders (hallo bump key) is een software patch tenminste snel en goedkoop uit te rollen.

Als je zegt : IK heb al die mogelijkheden niet nodig , dat is misschien waar.
Maar doen alsof een metalen token werkelijk alles even goed kan - dat is gewoon dom.

Strikt genomen heeft zo'n smart lock misschien geen Internet nodig en _zou_ het ook gebouwd kunnen zijn op basis van een inpandige controller , en eventueel VPN . Desondanks, de gevonden bugs zijn meer bugs en oplosbaar dan helemaal 'broken by design' .
27-07-2022, 16:56 door -Peter- - Bijgewerkt: 27-07-2022, 16:56
Door Anoniem:

Volledig eens met je opmerkingen.

Strikt genomen heeft zo'n smart lock misschien geen Internet nodig en _zou_ het ook gebouwd kunnen zijn op basis van een inpandige controller , en eventueel VPN . Desondanks, de gevonden bugs zijn meer bugs en oplosbaar dan helemaal 'broken by design' .

Met een eigen controller, zoals Home Assistant, en een eigen (!) VPN, zoals Wireguard, is dit natuurlijk op te bouwen zonder dat het slot zelf internet nodig heeft. Dan haal je wel de hele business case onder de sloten vandaan. ;-)
Juist het eenvoudig van buiten kunnen koppelen is belangrijk in dit soort sloten.
Maar ik ben wel blij met de reactie van Nuki. Er zijn in het verleden diverse leveranciers geweest die helemaal niet hebben gereageerd op meldingen over kwetsbaarheden. Of met een rechtzaak hebben gereageerd/

Peter
27-07-2022, 22:06 door Anoniem
Not so smart
31-07-2022, 13:26 door majortom - Bijgewerkt: 31-07-2022, 13:29
Door Anoniem:
Door Anoniem: Waarom moet je alles met het internet verbinden? Wat is er mis met een normale sleutel?
[...]
Maar er zijn zeker genoeg situaties waarin de mogelijkheden van een smart lock gewoon ontzettend veel toevoegen aan het gehannes met sleutels, duplicaten, master keys - en wat daar ook allemaal mee mis kan gaan. (zie de LPL...)
In tegenstelling tot gehackte metalen cilinders (hallo bump key) is een software patch tenminste snel en goedkoop uit te rollen.
[...]
Ik heb ooit gekeken naar een slot dat bijvoorbeeld via RFID te openen was, analoog aan deze versie (die met een app werkt). Reden om het, ondanks misschien het gemak, niet te doen was onder meer dat je in feite een extra aanvalsvector creeert, namelijk naast de aanval op het gewone slot ook op de digitale versie. Deze twee zullen altijd naast elkaar bestaan, aangezien je een fallback moet hebben mocht het digitale slot niet meer werken (batterij op, stroomuitval, etc), dus de bump key opmerking hierboven blijft nog steeds van toepassing (de Nuki draait uiteindelijk gewoon de sleutel om in het bestaande slot), maar je voegt eventuele digitale kwetsbaarheden toe (andere digitale sloten kon je bijvoorbeeld met een trucje via de brievenbus gewoon koppelen met een willekeurige smartphone).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.