Portal bezpiecznego e-biznesu

Zamek elektroniczny otwiera furtkę dla hakerów

 Zamek elektroniczny otwiera furtkę dla hakerów

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
August Smart Lock Pro + Connect należy do najpopularniejszych na rynku zamków elektronicznych. Bitdefender wykrył w urządzeniu lukę, która umożliwia przejęcie danych uwierzytelniających do domowej sieci Wi-Fi.
Zamek elektroniczny otwiera furtkę dla hakerów

Rozwój wynajmu nieruchomości online przyczynił się do wzrostu popularności zamków elektronicznych. Właściciel mieszkania nie musi spotykać się gośćmi, żeby przekazać im klucz, ponieważ może zdalnie wydawać oraz cofać dostęp poprzez udostępnienia tokena lub kodu PIN. Jednym z czołowych dostawców tego typu rozwiązań jest August Home, firma należąca do szwedzkiej grupy ASSA ABLOY. Bitdefender postanowił przetestować pod kątem bezpieczeństwa popularny model tego producenta August Smart Lock Pro + Connect.

Zamkiem można sterować za pomocą aplikacji na smartfona. Jeśli znajduje się w zasięgu drzwi, komunikacja jest realizowana przez Bluetooth Low Energy (BLE). W innych przypadkach istnieje możliwość zarządzania zdalnego - aplikacja łączy się przez Internet z mostkiem Connect (stąd nazwa „+ Connect”), który jest odpowiedzialny za sterowanie blokadą. Specjaliści od bezpieczeństwa przyznają, że wszystkie polecenia przekazywane pomiędzy urządzeniami są szyfrowane i nie można ich przechwycić lub zmodyfikować. Należy podkreślić iż, układ Connect funkcjonuje jedynie pod warunkiem, że użytkownik zarejestruje blokadę na koncie. Dostęp do konta jest zabezpieczony i wykorzystuje uwierzytelnianie dwuskładnikowe. Niemniej Bitdefender wykrył poważną lukę w funkcjonowaniu systemu. Problem pojawia się kiedy Connect łączy się z siecią lokalną za pomocą połączenia bezprzewodowego Wi-Fi. Urządzenie wówczas przełącza się w tryb konfiguracji, co powoduje, że działa jako punkt dostępu. Użytkownik łączy się z nim za pomocą smartfona, zaś aplikacja przekazuje dane logowania Wi-Fi. Ta wymiana danych uwierzytelniających nie jest w żaden sposób chroniona. Intruz nasłuchujący sieci, nawet bez logowania się do sieci, może przechwycić dane uwierzytelniające Wi-Fi. Wprawdzie ich pozyskanie nie pozwoliłoby hakerowi na odblokowanie drzwi wejściowych, ale umożliwiłoby przeprowadzenie ataków na sieć domową.

Bitdefender poinformował producenta o istniejącej luce osiem miesięcy temu. Niestety, usterka nie została naprawiona.

via GIPHY

Nie jest to pierwszy przypadek, kiedy Bitdefeneder wykrył błąd w zabezpieczeniach urządzeń należących do tzw. Internetu Rzeczy. W ubiegłym roku tożsama wada występowała w dzwonku Ring Video Doorbell. Jednak w tym przypadku dostawca urządzenia po otrzymaniu informacji od Bitdefendera, podjął działania mające na celu wyeliminowanie defektu.

Komentarze

‹ Poprzedni artykułUwaga na sklep mediaserwis24.com Następny artykuł ›Nieodebranie przesyłki pobraniowej przez sprzedawcę

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci.
Wcale nie spam. Zapisz się do Newslettera.

Legalniewsieci.pl © 2020. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się