Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Report this content

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra.

Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av den inbyggda programvaran innebär att felet inte kan åtgärdas helt, vilket belyser de svårigheter som tillverkare och konsumenter står inför när det gäller att säkra de nya internetanslutna enheter som når marknaden.

KeyWe Smart Lock, en fjärrstyrd åtkomstenhet som främst används i privata bostäder, gör det möjligt för användare att öppna och stänga dörrar med en app på sin mobiltelefon. F-Secure Consulting upptäckte att de kunde utnyttja olämpligt utformade kommunikationsprotokoll och avlyssna det hemliga lösenord som styr låset medan det överförs mellan den fysiska enheten och mobilappen.

— Låset har flera skyddsmekanismer. Tyvärr gör låsets design att det är ganska enkelt för angripare att kringgå dessa mekanismer för att avlyssna meddelanden som utbyts mellan låset och appen – vilket innebär att det är sårbart för relativt enkla angrepp. Det finns inget sätt att undvika detta, så för inbrottstjuvar som kan replikera hackningen utgör det ingen större utmaning att få tillgång till bostäder som skyddas av låset. Allt angriparna behöver är lite kunskap, en enhet som hjälper dem att fånga in trafik – vilken kan köpas från många elektronikbutiker för så lite som 100 SEK – och lite tid för att hitta ägarna till låset, säger F-Secure Consultings Krzysztof Marciniak, en av cybersäkerhetskonsulterna som bidrog i processen att hacka låset.

Angreppet utgör ännu en demonstration av de säkerhetsutmaningar som tillverkare och konsumenter står inför när Internet of Things-enheter (IoT) översvämmar marknaden. En ny uppskattning antyder att det kommer att finnas 125 miljarder enheter anslutna till internet år 2025.* Men i takt med att dessa IoT-enheter sprids, så sprids även de säkerhetsproblem som de medför.

Låset har flera användbara säkerhetsfunktioner, däribland datakryptering som är avsedd att förhindra att obehöriga parter får tillgång till systemkritisk information, som det hemliga lösenordet.

F-Secure Consulting hittade dock relativt enkla sätt att kringgå systemets säkerhetsåtgärder, och eftersom enheten inte kan ta emot uppdateringar av inbyggd programvara kan det fel som utnyttjades under angreppet inte åtgärdas, vilket innebär att ägarna till låset måste byta ut det eller leva med risken.

Krzysztof påpekar att säkerheten endast är effektiv när den implementeras korrekt, vilket är en finess som leverantörer av IoT-enheter måste förstå. 

— Alla säkerhetslösningar passar inte alla. De måste skräddarsys för att ta hänsyn till användare, miljö, hotmodell och mycket mer därtill. Det är inte enkelt att göra detta, men om leverantörer av IoT-enheter ska leverera produkter som inte kan ta emot uppdateringar är det viktigt att utforma dessa enheter så att de är säkra från grunden, förklarar Krzysztof.

Han rekommenderar att enskilda personer överväger säkerhetsaspekterna hos internetanslutningen innan de ersätter sina offlineenheter med onlineversioner och rekommenderar att enhetsleverantörer utför säkerhetsbedömningar av sina produkter som en del av sin design.

F-Secure Consulting är verksamt på fyra kontinenter från elva olika länder. Det tillhandahåller IT-säkerhetstjänster som är skräddarsydda för att passa behoven hos banker, finansiella tjänster, luftfart, sjöfart, detaljhandel, försäkringsföretag och andra organisationer som arbetar inom mycket riktade sektorer.

På grund av det enkla angreppet och bristen på effektiva riskreducerande åtgärder tillgängliga för slutanvändare har F-Secure Consulting valt att undanhålla viktiga delar av de tekniska uppgifter som krävdes för att utföra angreppet. Däremot har en text med tips och råd och ett blogginlägg med mer information publicerats på F-Secure Labs. Ytterligare support och tjänster för enhetsleverantörer finns tillgängliga från F-Secure Consulting.

* Källa: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

Ytterligare information

F-Secure Consulting: https://www.f-secure.com/en/consulting

F-Secures pressrum: https://sv.press.f-secure.com/

Sanna Syrjäläinen
+358 40 8349277
PR Manager, Nordics
F-Secure Corporation

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Vi minskar klyftan mellan Detection & Response genom att samla den oöverträffade intelligensen som finns hos hundratals av våra branschledande konsulter, miljontals enheter som kör vår prisbelönta programvara och innovationer inom artificiell intelligens. Världens största banker, flygbolag och företag litar på oss att hjälpa dem bekämpa världens mest avancerade hot. Tillsammans med vårt nätverk av de bästa partners och över 200 tjänsteleverantörer är vårt uppdrag att se till att alla har åtkomst till cybersäkerhet som vi alla behöver. F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.

Prenumerera

Media

Media