Google Campus: Ingenieur knackt elektronische Türschlösser

Komponenten eines verbreiteten Sicherheitssystems kommunizieren im Firmennetzwerk mit einem fest programmierten Kodierungsschlüssel. Präparierte Nachrichten mit dem replizierten Schlüssel können unbefugt Türen öffnen und schließen.

Google-Mitarbeiter David Tomaschik ist eher zufällig auf eine Sicherheitslücke gestoßen, die ihm das willkürliche Öffnen und Schließen elektronischer Schlösser erlaubte. Er konnte damit das Sicherheitssystem des Herstellers Software House umgehen, das die Google-Zentrale vor unbefugten Eindringlingen schützen sollte.

Verschlüsselung (Bild: Shutterstock)

Dem Sicherheitsingenieur fielen nicht randomisierte verschlüsselte Nachrichten auf, die die Software-House-Geräte iStar Ultra und IP-ACM über das Firmennetzwerk schickten. Bei näherer Betrachtung entdeckte er, dass die Geräte einen fest programmierten Kodierungsschlüssel nutzen. Das erlaubte ihm, den Schlüssel zu replizieren und das Sicherheitssystem zu knacken, indem er präparierte Nachrichten über das Netzwerk schickte.

Das hatte zur Folge, dass selbst legitime Besucher oder Google-Mitarbeiter mit RFID-Schlüsselkarten vor verschlossenen Türen standen, wenn Tomaschik das so wollte. Umgekehrt konnte er für die Öffnung von Türen sorgen, die eigentlich geschlossen bleiben sollten.

Über seine Erfahrungen mit diesem Sicherheitsproblem berichtete er im letzten Monat im IoT Village der Konferenz DEF CON, das der mangelnden Sicherheit handelsüblicher IoT-Geräte gilt. Die als CVE-2017-17704 erfasste Schwachstelle könnte einem Angreifer mit Zugang zum Netzwerk erlauben, Türen ohne jeden Log-Eintrag zu öffnen. Google selbst hat Vorkehrungen dagegen getroffen mit einem segmentierten Netzwerk.

„Wir haben das Problem zusammen mit unseren Kunden addressiert“, erklärte gegenüber Forbes ein Sprecher von Johnson Controls, der Muttergesellschaft von Software House. Mit iStar v2 soll TLS-Verschlüsselung für mehr Sicherheit sorgen, setzt allerdings einen Austausch von Hardware im Sicherheitssystem von Kunden voraus.

Googles Sicherheitsexperte David Tomaschik weist darauf hin, dass die installierten Software-House-Systeme nicht über genug Speicher für das Aufspielen neuer Firmware verfügen. Er geht davon aus, dass die fehlerhafte Technik innerhalb wie außerhalb von Google breit eingesetzt wird, da nur wenige Unternehmen Produkte dieser Kategorie anbieten. Damit könnten nach wie vor viele Unternehmen auf hackbare elektronische Schlösser vertrauen.

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Google, IoT, Security, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google Campus: Ingenieur knackt elektronische Türschlösser

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *