Sikkerhedsfejl i smart lock peger på kedelig tendens for IoT-enheder

Steen Jørgensen

Sikkerhedseksperter har fundet alvorlig fejl i KeyWe Smart Lock, så den let kan hackes - fejlen understreger en alvorlig og farlig tendens for den nærmeste fremtids milliarder af opkoblede IoT-enheder.

Sikkerhedsfejl i smart lock peger på kedelig tendens for IoT-enheder

Der er opdaget en kritisk fejl i en smart lås fra producenten KeyWe – fejlen er i sig selv slem, men generelt er fejlen kendetegnende for et stort problem, nemlig at opkoblede enheder,de såkaldte IoT-prodotuker, har store sikkerhedsmangler.

 

Smart lock med mangelfuld sikkerhed – kan brydes op af de fleste

Først om fejlen i KeyWe Smart Lock, som sikkerhedsfirmaet F-Secure har spottet. KeyWe Smart Lock er en fjernstyret indgangsenhed, der primært bruges i private boliger og giver brugerne mulighed for at åbne og lukke døre med en app på deres mobiltelefon. F-Secure fandt ud af, at de kunne udnytte de mangelfuldt designede kommunikationsprotokoller og dermed aflytte den hemmelige adgangsbesked, der kontrollerer låsen, mens den udveksles mellem den fysiske enhed på døren og mobil-appen.

Krzysztof Marciniak, en af de cybersikkerhedskonsulenter hos F-Secure Consulting der spottede fejlen, forklarer:

”Låsen har flere beskyttelsesmekanismer, men desværre gør låsens design det temmelig let for angribere at omgå disse mekanismer for at aflytte meddelelser, der udveksles mellem låsen og appen – dette betyder, at låsen og dermed ejerens hjem er åbent over for et relativt simpelt angreb. Alt en angriber har brug for, er en lille smule know-how, en enhed til at hjælpe dem med at opfange trafikken mellem de nævnte devices – dette kan købes i utallige butikker med forbrugerelektronik for helt ned til 10 dollars – og så skal man bruge lidt tid til at finde ejeren af låsen.”

Se også: De mest populære telefoner

 

Sikkerhedsfejl kan ikke rettes

Låsen fra KeyWe har adskillige nyttige sikkerhedsfunktioner, slår Krzysztof Marciniak fast, for eksempel datakryptering, der er beregnet til at forhindre uautoriserede parter i at få adgang til systemkritisk information, såsom den hemmelige adgangsbesked.

Desværre er det relativt let at omgå systemets sikkerhedsforanstaltninger og eftersom enheden ikke kan modtage firmwareopdateringer, kan den fejl, der udnyttes til dette angreb, ikke rettes, hvilket betyder, at ejere af denne lås skal erstatte låsen eller leve med risikoen.

Se også: Disse cyberangreb vil eksplodere i 2020

 

Advarer mod sløset sikkerhed i IoT-enheder

Angrebet er endnu en demonstration af de sikkerhedsudfordringer, som producenter og forbrugere står overfor, når IoT-enheder fortsætter med at vælte ud på markedet. Et nyligt skøn antyder, at der vil være 125 milliarder enheder, der er forbundet til internettet, i 2025. Når disse IoT-enheder spreder sig, så vil sikkerhedsproblemerne følge med.

Marciniak påpeger, at sikkerhed kun er effektiv, når den implementeres korrekt, hvilket er en detalje, som IoT-enhedsleverandører til stadighed har brug for at forstå.

”Sikkerhed er ikke en one-size-fits-all-løsning. Det skal skræddersys til at tage højde for brugeren, miljøet og en lang række andre parametre. Dette er ikke let, men hvis IoT-enhedsleverandører sender produkter, der ikke kan modtage opdateringer, ud i markedet, så er det vigtigt at bygge disse enheder med sikkerheden in mente fra starten af,” forklarer Marciniak.

Se også: Nyheder om cybersikkerhed