Czy zamki elektroniczne są bezpieczne? Wbrew wielu opiniom – tak, co jednak nie znaczy, że są całkowicie pozbawione słabych punktów. Bitdefender wykrył w takim urządzeniu lukę, która umożliwia przejęcie danych uwierzytelniających do domowej sieci Wi-Fi.
Rozwój wynajmu nieruchomości online przyczynił się do wzrostu popularności inteligentnych zamków. Właściciel mieszkania nie musi spotykać się gośćmi, żeby przekazać im klucz, może to zrobić zdalnie. Jednym z dostawców tego typu rozwiązań jest August Home, firma należąca do szwedzkiej grupy ASSA ABLOY. Bitdefender postanowił przetestować popularny model tego producenta August Smart Lock Pro + Connect.
Zobacz: Nowość z Polski: inteligentny zamek tedee z modułem GERDA. Sterowanie smartfonem i zegarkiem
Zamkiem można sterować za pomocą aplikacji na smartfon z wykorzystaniem Bluetooth, istnieje też możliwość zarządzania zdalnego – wtedy aplikacja łączy się przez internet z mostkiem Connect. Wszystkie polecenia przekazywane pomiędzy urządzeniami są szyfrowane i nie można ich przechwycić lub zmodyfikować. Dostęp do konta jest zabezpieczony i wykorzystuje uwierzytelnianie dwuskładnikowe.
Zobacz: CES 2020: Netatmo prezentuje Inteligentny Zamek i Klucze
Bitdefender wykrył poważną lukę w funkcjonowaniu systemu. Problem pojawia się, kiedy mostek Connect łączy się z siecią lokalną za pomocą Wi-Fi. Urządzenie przechodzi wówczas w tryb konfiguracji, co powoduje, że działa jako punkt dostępu. Użytkownik może połączyć się z nim za pomocą smartfonu, zaś aplikacja przekazuje dane logowania Wi-Fi.
Ta wymiana danych uwierzytelniających nie jest w żaden sposób chroniona. Intruz nasłuchujący sieci, nawet bez logowania się do sieci, może przechwycić dane uwierzytelniające Wi-Fi. Ich pozyskanie nie pozwoliłoby hakerowi na odblokowanie drzwi wejściowych, ale umożliwiłoby przeprowadzenie ataków na sieć domową.
Bitdefender poinformował producenta o istniejącej luce osiem miesięcy temu. Niestety, usterka nie została naprawiona. Nie jest to pierwszy przypadek, kiedy Bitdefeneder wykrył błąd w zabezpieczeniach urządzeń należących do tzw. Internetu Rzeczy. W ubiegłym roku podobna wada została wykryta w dzwonku Ring Video Doorbell. Jednak w tym przypadku dostawca urządzenia po otrzymaniu informacji od Bitdefendera, podjął działania mające na celu wyeliminowanie luki.
Zobacz: DarkSide: nowe oprogramowanie ransomware
Zobacz: Sto dolarów, albo Twoje strony przestaną działać - nowa kampania w sieci
Źródło zdjęć: August Home
Źródło tekstu: Bitdefender
