December 13, 2019 |

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra.

Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av den inbyggda programvaran innebär att felet inte kan åtgärdas helt, vilket belyser de svårigheter som tillverkare och konsumenter står inför när det gäller att säkra de nya internetanslutna enheter som når marknaden.

KeyWe Smart Lock, en fjärrstyrd åtkomstenhet som främst används i privata bostäder, gör det möjligt för användare att öppna och stänga dörrar med en app på sin mobiltelefon. F-Secure Consulting upptäckte att de kunde utnyttja olämpligt utformade kommunikationsprotokoll och avlyssna det hemliga lösenord som styr låset medan det överförs mellan den fysiska enheten och mobilappen.

— Låset har flera skyddsmekanismer. Tyvärr gör låsets design att det är ganska enkelt för angripare att kringgå dessa mekanismer för att avlyssna meddelanden som utbyts mellan låset och appen – vilket innebär att det är sårbart för relativt enkla angrepp. Det finns inget sätt att undvika detta, så för inbrottstjuvar som kan replikera hackningen utgör det ingen större utmaning att få tillgång till bostäder som skyddas av låset. Allt angriparna behöver är lite kunskap, en enhet som hjälper dem att fånga in trafik – vilken kan köpas från många elektronikbutiker för så lite som 100 SEK – och lite tid för att hitta ägarna till låset, säger F-Secure Consultings Krzysztof Marciniak, en av cybersäkerhetskonsulterna som bidrog i processen att hacka låset.

Angreppet utgör ännu en demonstration av de säkerhetsutmaningar som tillverkare och konsumenter står inför när Internet of Things-enheter (IoT) översvämmar marknaden. En ny uppskattning antyder att det kommer att finnas 125 miljarder enheter anslutna till internet år 2025.* Men i takt med att dessa IoT-enheter sprids, så sprids även de säkerhetsproblem som de medför.

Låset har flera användbara säkerhetsfunktioner, däribland datakryptering som är avsedd att förhindra att obehöriga parter får tillgång till systemkritisk information, som det hemliga lösenordet.

F-Secure Consulting hittade dock relativt enkla sätt att kringgå systemets säkerhetsåtgärder, och eftersom enheten inte kan ta emot uppdateringar av inbyggd programvara kan det fel som utnyttjades under angreppet inte åtgärdas, vilket innebär att ägarna till låset måste byta ut det eller leva med risken.

Krzysztof påpekar att säkerheten endast är effektiv när den implementeras korrekt, vilket är en finess som leverantörer av IoT-enheter måste förstå.

— Alla säkerhetslösningar passar inte alla. De måste skräddarsys för att ta hänsyn till användare, miljö, hotmodell och mycket mer därtill. Det är inte enkelt att göra detta, men om leverantörer av IoT-enheter ska leverera produkter som inte kan ta emot uppdateringar är det viktigt att utforma dessa enheter så att de är säkra från grunden, förklarar Krzysztof.

Han rekommenderar att enskilda personer överväger säkerhetsaspekterna hos internetanslutningen innan de ersätter sina offlineenheter med onlineversioner och rekommenderar att enhetsleverantörer utför säkerhetsbedömningar av sina produkter som en del av sin design.

F-Secure Consulting är verksamt på fyra kontinenter från elva olika länder. Det tillhandahåller IT-säkerhetstjänster som är skräddarsydda för att passa behoven hos banker, finansiella tjänster, luftfart, sjöfart, detaljhandel, försäkringsföretag och andra organisationer som arbetar inom mycket riktade sektorer.

På grund av det enkla angreppet och bristen på effektiva riskreducerande åtgärder tillgängliga för slutanvändare har F-Secure Consulting valt att undanhålla viktiga delar av de tekniska uppgifter som krävdes för att utföra angreppet. Däremot har en text med tips och råd och ett blogginlägg med mer information publicerats på F-Secure Labs. Ytterligare support och tjänster för enhetsleverantörer finns tillgängliga från F-Secure Consulting.

* Källa: https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Vi minskar klyftan mellan Detection & Response genom att samla den oöverträffade intelligensen som finns hos hundratals av våra branschledande konsulter, miljontals enheter som kör vår prisbelönta programvara och innovationer inom artificiell intelligens. Världens största banker, flygbolag och företag litar på oss att hjälpa dem bekämpa världens mest avancerade hot. Tillsammans med vårt nätverk av de bästa partners och över 200 tjänsteleverantörer är vårt uppdrag att se till att alla har åtkomst till cybersäkerhet som vi alla behöver. F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.

 

Presskontakt:

Sanna Syrjäläinen
+358 40 8349277
PR Manager, Nordics
F-Secure Corporation

Pressarkiv
Välj år

Senaste pressmeddelandena

March 6, 2020

IT-attacker och ransomware ett stort problem under hela 2019

En ny rapport från F-Secure visar att ransomware utgör ett allt större hot, men det finns anledning till att vara positiv.   Cyberbrottslingar fortsatte att stå för en uppsjö av attacker år 2019, sporrade av botnets på angripna IoT-enheter och angripares intresse för sårbarheten EternalBlue. I en ny rapport ”Attack Landscape H2 2019” från cybersäkerhetsleverantören […]

February 18, 2020

Ny rapport visar att internetanvändare är överväldigade av oro för ID-stöld

En rapport från F-Secure visar att konsumenter är mycket oroliga för ID-stölder, F-Secure lanserar ett kostnadsfritt verktyg som hjälper människor att hitta utsatta data En ny rapport från cybersäkerhetsleverantören F-Secure visar att en stadig ström av stora dataintrång har lett till att majoriteten av konsumenter är oroliga för online-brott som leder till identitetsstöld och kapning […]

December 18, 2019

Populärt trådlöst presentationssystem hackas under 60 sekunder

F-Secures säkerhetskonsulter varnar för att de enheter som vi litar blint på även är angriparnas favoritmål. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt flera brister i ett populärt trådlöst presentationssystem, varav vissa kan utnyttjas på mindre än 60 sekunder. Angripare kan använda bristerna för att avlyssna och manipulera information under presentationer, stjäla lösenord och annan konfidentiell […]

December 13, 2019

Säkerhetsproblem hos smart lås lämnar dörrar öppna för angripare

Ett designfel som har upptäckts i smart låset, KeyWe Smart Lock, belyser den pågående kampen för att skapa enheter som är både smarta och säkra. Konsulter hos cybersäkerhetsleverantören F-Secure har upptäckt en designbrist hos ett smart lås, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten. Låsets oförmåga att ta emot uppdateringar av […]

%d bloggers like this: