Rozwój wynajmu nieruchomości online przyczynił się do wzrostu popularności zamków elektronicznych. Właściciel mieszkania nie musi spotykać się gośćmi, żeby przekazać im klucz, ponieważ może zdalnie wydawać oraz cofać dostęp poprzez udostępnienia tokena lub kodu PIN. Jednym z czołowych dostawców tego typu rozwiązań jest August Home, firma należąca do szwedzkiej grupy ASSA ABLOY. Bitdefender postanowił przetestować pod kątem bezpieczeństwa popularny model tego producenta August Smart Lock Pro + Connect.
Zamkiem można sterować za pomocą aplikacji na smartfona. Jeśli znajduje się w zasięgu drzwi, komunikacja jest realizowana przez Bluetooth Low Energy (BLE). W innych przypadkach istnieje możliwość zarządzania zdalnego - aplikacja łączy się przez Internet z mostkiem Connect (stąd nazwa „+ Connect”), który jest odpowiedzialny za sterowanie blokadą. Specjaliści od bezpieczeństwa przyznają, że wszystkie polecenia przekazywane pomiędzy urządzeniami są szyfrowane i nie można ich przechwycić lub zmodyfikować. Należy podkreślić iż, układ Connect funkcjonuje jedynie pod warunkiem, że użytkownik zarejestruje blokadę na koncie. Dostęp do konta jest zabezpieczony i wykorzystuje uwierzytelnianie dwuskładnikowe. Niemniej Bitdefender wykrył poważną lukę w funkcjonowaniu systemu. Problem pojawia się kiedy Connect łączy się z siecią lokalną za pomocą połączenia bezprzewodowego Wi-Fi. Urządzenie wówczas przełącza się w tryb konfiguracji, co powoduje, że działa jako punkt dostępu. Użytkownik łączy się z nim za pomocą smartfona, zaś aplikacja przekazuje dane logowania Wi-Fi. Ta wymiana danych uwierzytelniających nie jest w żaden sposób chroniona. Intruz nasłuchujący sieci, nawet bez logowania się do sieci, może przechwycić dane uwierzytelniające Wi-Fi. Wprawdzie ich pozyskanie nie pozwoliłoby hakerowi na odblokowanie drzwi wejściowych, ale umożliwiłoby przeprowadzenie ataków na sieć domową.
Bitdefender poinformował producenta o istniejącej luce osiem miesięcy temu. Niestety, usterka nie została naprawiona.
Nie jest to pierwszy przypadek, kiedy Bitdefeneder wykrył błąd w zabezpieczeniach urządzeń należących do tzw. Internetu Rzeczy. W ubiegłym roku tożsama wada występowała w dzwonku Ring Video Doorbell. Jednak w tym przypadku dostawca urządzenia po otrzymaniu informacji od Bitdefendera, podjął działania mające na celu wyeliminowanie defektu.
Komentarze