Använder ditt kontor passersystem från amerikanska Software House? Jaså, du säger det! Var har ni kontoret och är det någon där just nu?
Ytterligare ett vanligt IoT-system har visat sig ha undermålig cybersäkerhet. Hålet finns i passersystemen iStar Ultra och IP-ACM från amerikanska Software House.
En anställd på Google roade sig med att undersöka datapaketen som skickades över datanätet. Till slut kunde han låsa upp godtycklig dörr utan RFID-kort. Dessutom utan att händelsen loggades någonstans.
Han kunde också spärra legitima nycklar. Han minns ännu trimufen när han första gången såg den röda lampan bli grön och hörde klicket från låskolven.
Den anställde ifråga, David Tomaschik, berättade historien på säkerhetskonferensen Defcon på spåret Internet of Things Village. Han hackade sin egen kontorsbyggnad på Google i Sunnyvale i juli.
David Tomaschik förstod att det fanns en brist i säkerheten när han noterade att datapaketens innehåll inte såg helt slumpmässigt ut, vilket det ska göra i välkrypterad kommunikation.
Genom att analysera regelbundenheterna kunde han räkna ut att det fanns en hårdkodad säkerhetsnyckel och han kunde rekonstruera kommandon för att öppna dörrar. Enligt Forbes behövde han bara spela upp ett legitimt upplåsningskommando i repris.
Google har byggt om systemet för att förhindra intrång och säger sig inte se några bevis på att säkerhetsluckan någonsin utnyttjades. Google har bytt till en annan krypteringsmetod – vilket krävde byte av hårdvara på Googles kontor – och har dessutom segmenterat sitt nätverk.
Bytet krävdes för att komponenterna inte hade tillräckligt med minne för att installera ny firmware.
Tidningen Forbes har kollat med Software House. Företagets enda kommentar är att problemet är utrett med kunden. Men det finns ett stort kvarstående problem – alla andra kunders passersystem kanske också går att hacka.
På Internet of Things Village-spåret avslöjades inte mindre än 55 sårbarheter i allt från smarta bevattningssystem till Sonos-högtalare.