Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra.

Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av den inbyggda programvaran innebär att felet inte kan åtgärdas helt, vilket belyser de svårigheter som tillverkare och konsumenter står inför när det gäller att säkra de nya internetanslutna enheter som når marknaden.

KeyWe Smart Lock, en fjärrstyrd åtkomstenhet som främst används i privata bostäder, gör det möjligt för användare att öppna och stänga dörrar med en app på sin mobiltelefon. F-Secure Consulting upptäckte att de kunde utnyttja olämpligt utformade kommunikationsprotokoll och avlyssna det hemliga lösenord som styr låset medan det överförs mellan den fysiska enheten och mobilappen.

— Låset har flera skyddsmekanismer. Tyvärr gör låsets design att det är ganska enkelt för angripare att kringgå dessa mekanismer för att avlyssna meddelanden som utbyts mellan låset och appen – vilket innebär att det är sårbart för relativt enkla angrepp. Det finns inget sätt att undvika detta, så för inbrottstjuvar som kan replikera hackningen utgör det ingen större utmaning att få tillgång till bostäder som skyddas av låset. Allt angriparna behöver är lite kunskap, en enhet som hjälper dem att fånga in trafik – vilken kan köpas från många elektronikbutiker för så lite som 100 SEK – och lite tid för att hitta ägarna till låset, säger F-Secure Consultings Krzysztof Marciniak, en av cybersäkerhetskonsulterna som bidrog i processen att hacka låset.

Angreppet utgör ännu en demonstration av de säkerhetsutmaningar som tillverkare och konsumenter står inför när Internet of Things-enheter (IoT) översvämmar marknaden. En ny uppskattning antyder att det kommer att finnas 125 miljarder enheter anslutna till internet år 2025.* Men i takt med att dessa IoT-enheter sprids, så sprids även de säkerhetsproblem som de medför.

Låset har flera användbara säkerhetsfunktioner, däribland datakryptering som är avsedd att förhindra att obehöriga parter får tillgång till systemkritisk information, som det hemliga lösenordet.

F-Secure Consulting hittade dock relativt enkla sätt att kringgå systemets säkerhetsåtgärder, och eftersom enheten inte kan ta emot uppdateringar av inbyggd programvara kan det fel som utnyttjades under angreppet inte åtgärdas, vilket innebär att ägarna till låset måste byta ut det eller leva med risken.

Krzysztof påpekar att säkerheten endast är effektiv när den implementeras korrekt, vilket är en finess som leverantörer av IoT-enheter måste förstå.

— Alla säkerhetslösningar passar inte alla. De måste skräddarsys för att ta hänsyn till användare, miljö, hotmodell och mycket mer därtill. Det är inte enkelt att göra detta, men om leverantörer av IoT-enheter ska leverera produkter som inte kan ta emot uppdateringar är det viktigt att utforma dessa enheter så att de är säkra från grunden, förklarar Krzysztof.

Han rekommenderar att enskilda personer överväger säkerhetsaspekterna hos internetanslutningen innan de ersätter sina offlineenheter med onlineversioner och rekommenderar att enhetsleverantörer utför säkerhetsbedömningar av sina produkter som en del av sin design.

F-Secure Consulting är verksamt på fyra kontinenter från elva olika länder. Det tillhandahåller IT-säkerhetstjänster som är skräddarsydda för att passa behoven hos banker, finansiella tjänster, luftfart, sjöfart, detaljhandel, försäkringsföretag och andra organisationer som arbetar inom mycket riktade sektorer.

På grund av det enkla angreppet och bristen på effektiva riskreducerande åtgärder tillgängliga för slutanvändare har F-Secure Consulting valt att undanhålla viktiga delar av de tekniska uppgifter som krävdes för att utföra angreppet. Däremot har en text med tips och råd och ett blogginlägg med mer information publicerats på F-Secure Labs. Ytterligare support och tjänster för enhetsleverantörer finns tillgängliga från F-Secure Consulting.

* Källa: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | linkedin.com/f-secure

Presskontakt

Sanna Syrjäläinen

PR Manager, Nordics

+358 408349277
sanna.syrjalainen@f-secure.com

Press list

Beställ media information från F-Secure

Press arkiv

Per år

Bekanta dig med våra nyheter per år 

Per kategori

Bekanta dig med våra nyheter per kategori