Categories: Sicherheit

Google Campus: Ingenieur knackt elektronische Türschlösser

Google-Mitarbeiter David Tomaschik ist eher zufällig auf eine Sicherheitslücke gestoßen, die ihm das willkürliche Öffnen und Schließen elektronischer Schlösser erlaubte. Er konnte damit das Sicherheitssystem des Herstellers Software House umgehen, das die Google-Zentrale vor unbefugten Eindringlingen schützen sollte.

Dem Sicherheitsingenieur fielen nicht randomisierte verschlüsselte Nachrichten auf, die die Software-House-Geräte iStar Ultra und IP-ACM über das Firmennetzwerk schickten. Bei näherer Betrachtung entdeckte er, dass die Geräte einen fest programmierten Kodierungsschlüssel nutzen. Das erlaubte ihm, den Schlüssel zu replizieren und das Sicherheitssystem zu knacken, indem er präparierte Nachrichten über das Netzwerk schickte.

Das hatte zur Folge, dass selbst legitime Besucher oder Google-Mitarbeiter mit RFID-Schlüsselkarten vor verschlossenen Türen standen, wenn Tomaschik das so wollte. Umgekehrt konnte er für die Öffnung von Türen sorgen, die eigentlich geschlossen bleiben sollten.

Über seine Erfahrungen mit diesem Sicherheitsproblem berichtete er im letzten Monat im IoT Village der Konferenz DEF CON, das der mangelnden Sicherheit handelsüblicher IoT-Geräte gilt. Die als CVE-2017-17704 erfasste Schwachstelle könnte einem Angreifer mit Zugang zum Netzwerk erlauben, Türen ohne jeden Log-Eintrag zu öffnen. Google selbst hat Vorkehrungen dagegen getroffen mit einem segmentierten Netzwerk.

„Wir haben das Problem zusammen mit unseren Kunden addressiert“, erklärte gegenüber Forbes ein Sprecher von Johnson Controls, der Muttergesellschaft von Software House. Mit iStar v2 soll TLS-Verschlüsselung für mehr Sicherheit sorgen, setzt allerdings einen Austausch von Hardware im Sicherheitssystem von Kunden voraus.

Googles Sicherheitsexperte David Tomaschik weist darauf hin, dass die installierten Software-House-Systeme nicht über genug Speicher für das Aufspielen neuer Firmware verfügen. Er geht davon aus, dass die fehlerhafte Technik innerhalb wie außerhalb von Google breit eingesetzt wird, da nur wenige Unternehmen Produkte dieser Kategorie anbieten. Damit könnten nach wie vor viele Unternehmen auf hackbare elektronische Schlösser vertrauen.

[mit Material von Charlie Osborne, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

21 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

21 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago