Säkerhetsproblem upptäckt hos smart lås
En kamp pågår för att skapa enheter som både är smarta och säkra.
Det var konsulter hos cybersäkerhetsleverantören F-secure som upptäckte en designbrist hos ett smart lås, Keywe smart lock, vilket angripare kan utnyttja för att enkelt få åtkomst till enheten.
Angreppet utgör ännu en demonstration av de säkerhetsutmaningar som tillverkare och konsumenter står inför när Internet of things-enheter (IoT) översvämmar marknaden. I takt med att dessa IoT-enheter sprids, sprids även de säkerhetsproblem som de medför.
Låsets oförmåga att ta emot uppdateringar av den inbyggda programvaran innebär att felet inte kan åtgärdas helt, vilket belyser de svårigheter som tillverkare och konsumenter står inför när det gäller att säkra de nya internetanslutna enheter som når marknaden.
Keywe smart lock gör det möjligt för användare att öppna och stänga dörrar med en app på sin mobiltelefon.
— Låset har flera skyddsmekanismer. Tyvärr gör låsets design att det är ganska enkelt för angripare att kringgå dessa mekanismer för att avlyssna meddelanden som utbyts mellan låset och appen – vilket innebär att det är sårbart för relativt enkla angrepp. Det finns inget sätt att undvika detta, så för inbrottstjuvar som kan replikera hackningen utgör det ingen större utmaning att få tillgång till bostäder som skyddas av låset. Allt angriparna behöver är lite kunskap, en enhet som hjälper dem att fånga in trafik – vilken kan köpas från många elektronikbutiker för så lite som 100 kronor – och lite tid för att hitta ägarna till låset, säger F-secure consultings Krzysztof Marciniak, en av cybersäkerhetskonsulterna som bidrog i processen att hacka låset.
Krzysztof Marciniak påpekar att säkerheten endast är effektiv när den implementeras korrekt, vilket är en finess som leverantörer av IoT-enheter måste förstå.
— Alla säkerhetslösningar passar inte alla. De måste skräddarsys för att ta hänsyn till användare, miljö, hotmodell och mycket mer därtill. Det är inte enkelt att göra detta, men om leverantörer av IoT-enheter ska leverera produkter som inte kan ta emot uppdateringar är det viktigt att utforma dessa enheter så att de är säkra från grunden, förklarar Krzysztof Marciniak.