Google-Mitarbeiter David Tomaschik ist eher zufällig auf eine Sicherheitslücke gestoßen, die ihm das willkürliche Öffnen und Schließen elektronischer Schlösser erlaubte. Er konnte damit das Sicherheitssystem des Herstellers Software House umgehen, das die Google-Zentrale vor unbefugten Eindringlingen schützen sollte.
Dem Sicherheitsingenieur fielen nicht randomisierte verschlüsselte Nachrichten auf, die die Software-House-Geräte iStar Ultra und IP-ACM über das Firmennetzwerk schickten. Bei näherer Betrachtung entdeckte er, dass die Geräte einen fest programmierten Kodierungsschlüssel nutzen. Das erlaubte ihm, den Schlüssel zu replizieren und das Sicherheitssystem zu knacken, indem er präparierte Nachrichten über das Netzwerk schickte.
Das hatte zur Folge, dass selbst legitime Besucher oder Google-Mitarbeiter mit RFID-Schlüsselkarten vor verschlossenen Türen standen, wenn Tomaschik das so wollte. Umgekehrt konnte er für die Öffnung von Türen sorgen, die eigentlich geschlossen bleiben sollten.
Über seine Erfahrungen mit diesem Sicherheitsproblem berichtete er im letzten Monat im IoT Village der Konferenz DEF CON, das der mangelnden Sicherheit handelsüblicher IoT-Geräte gilt. Die als CVE-2017-17704 erfasste Schwachstelle könnte einem Angreifer mit Zugang zum Netzwerk erlauben, Türen ohne jeden Log-Eintrag zu öffnen. Google selbst hat Vorkehrungen dagegen getroffen mit einem segmentierten Netzwerk.
„Wir haben das Problem zusammen mit unseren Kunden addressiert“, erklärte gegenüber Forbes ein Sprecher von Johnson Controls, der Muttergesellschaft von Software House. Mit iStar v2 soll TLS-Verschlüsselung für mehr Sicherheit sorgen, setzt allerdings einen Austausch von Hardware im Sicherheitssystem von Kunden voraus.
Googles Sicherheitsexperte David Tomaschik weist darauf hin, dass die installierten Software-House-Systeme nicht über genug Speicher für das Aufspielen neuer Firmware verfügen. Er geht davon aus, dass die fehlerhafte Technik innerhalb wie außerhalb von Google breit eingesetzt wird, da nur wenige Unternehmen Produkte dieser Kategorie anbieten. Damit könnten nach wie vor viele Unternehmen auf hackbare elektronische Schlösser vertrauen.
[mit Material von Charlie Osborne, ZDNet.com]
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
